雲端資訊安全 – Page 47 – 軟體品管的專業思維

3個免費的 Web資訊安全自動化測試工具

September 14, 2015September 14, 2015 TonyWeb Security / 軟體品管 / 雲端資訊安全

3個免費的 Web資訊安全自動化測試工具這篇文章主要介紹三個 Web資訊安全測試工具。這三個工具各有特色，共通點都是免費。 “免費”的同時可以執行的安全測試範圍與種類足夠實務上使用。這些工具也內建許多測試資料用來測試 XSS, SQL injection, Directory Traversal等。 Web資訊安全測試由於是一個動態的測試過程，筆者建議用兩種以上的工具交互測試，發現必且交叉驗證潛在的問題。使用工具外，更重要的是背後每一種攻擊運作的原理與防護之道。才不落於受制於工具的操作。 Web 資訊安全測試是動態測試的過程資訊安全測試比起自動化測試或是其他測試工具來說，資訊安全測試更著重於”動態”的過程而非結果。動態的過程主要是瀏覽器或是…

駭客攻擊前的偵查

September 13, 2015September 13, 2015 TonyWeb Security / 軟體品管 / 雲端資訊安全

駭客攻擊前的偵查這篇文章主要說明駭客攻擊前必要的準備動作，”偵查” 駭客偵查是要偵查的目的?偵查哪些資訊? 透過哪些方法與工具? 這篇文章將討論這些議題。偵查的目的駭客在攻擊受害者網站之前，會先對該網站收集必要的資訊，也就是所謂的偵查 (Reconnaissance)。偵查是哪哪些資訊與目的呢? • 被攻擊者背景資訊：該受攻擊者的主要行業? • 被攻擊者的相關廠商：例如供應商、協力廠商與客戶等 • 被攻擊者對於資訊安全的投資 • 被攻擊指的資訊安全流整與政策?　目前營運上有哪些潛在風險? • 特定族群:…

駭客如何用XSS讀取 Cookie?

September 11, 2015September 11, 2015 TonyWeb Security / 軟體品管 / 雲端資訊安全

駭客如何用XSS讀取 Cookie? 這篇文章主要透過一個比較完整的例子說明 XSS的攻擊過程。為什麼駭客要做這樣的攻擊? 測試工具為何? 如何觀察?　防護的建議。 Reflected Cross-site Scripting (XSS) XSS 或是 JavaScript Injection 都是一般的通稱。這邊要介紹的是 “Reflected” cross-site Scripting的…

M	T	W	T	F	S	S
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30