簡單的說,駭客並不是應用程式,他所可能發動的攻擊方式可能會千變萬化,但我們能圖3:滲透測試流程盡量避免各項系統訊息的洩漏避免入侵嘗試,修補已知的漏洞防止侵入,而攻擊手法的精進以及官方的漏洞修補一再發佈,定期進行滲透測試是最理想的防範方式。再一次完整的滲透測試執行完畢後,資安專家會依照所發現的漏洞評估災情,根據嚴重程度分級,詳細列出攻擊步驟,並給予完整的修復建議,輔導企業修補漏洞。待企業修補完畢後,資安專家會再次驗證該漏洞是否已正確修復,若發現能利用其他手法再次繞過,則會回報給企業,請開發者再次進行修補;而本案與OWASP十大弱點差異性可參見表2所示,表中明顯看出本案的開發人員過於信任自我開發系統初次身分驗證與管理,以至於進入系統後的系統功能操作權限管控之疏漏,須再加強管控;但從另一角度來思考,OWASP的十大弱點排序確實與實務網站系統開發相當吻合,除網頁性質差異導致排序不同外,其安全漏洞的整理算相當高,未來如有類似專案開發需求,將這些風險優先考慮改善,應可避免大部分資安風險,可供參考。 |
本站僅提供期刊文獻檢索。
