雲端資訊安全測試流程與工具 這篇文章主要說明雲端資訊安全測試流程的範本參考與筆者建議的相關工具, 希望可以提供比較容易採用的一些方法、工具, 並且建議的流程與工具主要是非營利組織所制定的相關Best Practices。 內部資訊安全流程 如果內部軟體開發流程希望導入一定的資訊安全流程應該怎樣開始呢? 筆者建議可以參考 SAMM 所建議的方法與步驟。簡單來說, SAMM將 Security分為四大功能。 http://www.opensamm.org/download/ 十大雲端與網站威脅 https://www.owasp.org/index.php/OWASP_Cloud_%E2%80%90_10/Initial_Pre-Alpha_List_of_OWASP_Cloud_Top_10_Security_Risks https://www.owasp.org/index.php/Top_10_2013-Top_10 OWASP Top…
雲端資訊安全
課程剪影:如何快速的佈署你的開發與測試環境 Puppet / Vagrant / Chocolately
課程剪影:如何快速的佈署你的開發與測試環境 Puppet / Vagrant / Chocolately 這門課程目前規畫為 6-9 小時,主要以上機實做為主,我們會用 Windows與 Ubuntu為例子,架設相關的環境。如何用 Puppet來達到 infrastructure as Code 的目標。另外,也用 Vagrant如何來建構一個 Virtual Image。最後,針對 Windows…
判斷Web Security 入侵的跡象
判斷Web Security 入侵個跡象 這篇文章主要說明網站受到入侵的幾個重要的跡象, 一般的防火牆或是 IDS也是根據這樣的跡象來偵測並且採取並要的行動。 主要參考 OWASP 組織中,Appensor 這個專案所定義的相關建議。 通常一個入侵可能是多種跡象的結合,為減少誤判機率,會在加上時間軸內發生的次數與異常頻率。 這些設定的組合就會形成一個入侵偵測與防火牆的 rule。 Request Exception 這類指的主要是client端送到 Web Server時,Http Request的異常行為,舉幾個例子 網站只有支援…