完整的資安測試為什麼還是被攻擊? Known Vulnerability 這篇文章主要說明當應用系統已經做完完整的測試與安全設計評審後,為什麼還會遭受攻擊呢? 其中一個很常見的原因也是常被忽略的,就是使用第三方的工具或程式庫。 這些第三方的程式庫沒有適當的更新而導致資訊安全風險。 加上這些資訊安全風險都是公開的資訊,駭客按圖索驥透過這個方式攻擊。 常見的像是 OpenSSL,Apache or PHP 等。 那麼到底有什麼方式可以得知目前我使用的第三方工具或是程式庫是否有重大資安風險呢? 如果有,駭客又是透過什麼方式攻擊? 業界又是怎樣對於”資安風險” 評分出一個客觀的指標呢? 重大風險還是中度風險? 當使用的第三方工具與程式庫有上百個怎麼有效率的查詢呢? 什麼是 CVE?…