Logging 衍生的資訊安全風險 這篇文章主要說明 Log 會帶來的資訊安全風險與防範。 Log原本主要用在紀錄系統或是程式執行過程中發生的錯誤或是異常, Log記錄這些系統的資訊以便未來開發或是系統人員可以根據這些log 加以除錯。 但是,對於駭客來說 Log 也被用來了解系統行為的一個管道之一。 我們會討論三個實際個案,最後說明Log所要注意的資訊安全設計與建議。 Log主要目的 不管是系統或是程式Log的主要目的不外乎是紀錄系統活動事件。Log的資訊內容包含: 發生什麼事情? 何時、何地、誰、做了什麼使事情? 除了系統本身的 log之外,還有應用程式 Log…
雲端資訊安全
HTTP 資料傳輸的資訊安全與 Http Header的設定
HTTP 資料傳輸的資訊安全與 Http Header的設定 這篇文章主要針對 HTTP 這個通訊協定的資訊安全做基本的介紹。 HTTP 是所有網路服務與網站的通訊基礎。 因此,要打造安全的網站,必須先對 HTTP有基本的了解。 我們主要針對 Http Request Get/POST 的資料傳輸來說明HTTP可能的資訊安全風險。 另外,我們也介紹三個常見必且與資訊安全相關的 Http Header 。…
資訊安全測試文章彙整(超過101篇)
資訊安全測試文章彙整 (超過101篇) 這篇文章主要彙整筆者對於資訊安全測試的文章分享。 包含資訊安全政策、安全的軟體建置與設計、測試的流程、測試工具、測試環境、開發要注意的地方、維運平台要注意的地方等。 世界頂尖的資訊安全(滲透式)測試方法範本 滲透式資訊安全測試結果報告範例 網站資訊安全測試計畫與測試個案範本 資訊安全網路與應用系統整體架構的 Design Pattern 判斷Web Security 入侵的跡象 網站資訊安全測試計畫與測試個案範本 網站資訊安全測試與需求範本 資訊安全規範 SAMM 資訊安全軟體成熟度模型 –…