有了完善的防火牆及網路資安防護機制,或是將系統放在通過ISO27001認證的IDC機房或全球知名的雲端主機服務平台,就可以防範無孔不入的駭客攻擊?

有許多知名網站程式發生漏洞,導致資料庫被刪、資料被竊、資料被竄改、網站SSL加密連線失效、個資被竊、駭客假冒使用者身份、導向釣魚網站騙取帳號密碼、導向惡意網站安裝惡意程式後門…,造成營收損失與商譽損害。雲端主機運營商雖通知你的網站遭駭客入侵,但不支援你解決相關網站程式安全漏洞,只能先關閉您的網站,等你自己解決程式的安全漏洞才能重新開放。

程式本身就有安全漏洞
這些資安攻擊事件都有一個共通的特點,就是都是透過程式的漏洞進行攻擊,甚至是透過Email就可以攻擊,並不是因為防火牆及網路資安防護機制的不完善而遭入侵,即使是全球知名的大型網站或雲端主機平台也難以倖免。為何雲端服務廠商一旦發生程式漏洞的駭客攻擊事件,只會關閉你的系統,卻無法協助你解決程式漏洞問題呢?關鍵原因在於,許多程式的漏洞在軟體系統架構設計及系統分析設計階段就已經存在了,系統分析設計師、程式設計師缺乏資訊安全知識,以及安全程式系統分析設計的能力,無法在設計規格上建立有效防止程式漏洞的機制,導致程式設計師實作設計規格時,無法開發出安全性高的程式碼。

弱點掃描無法測出所有漏洞
事實上,近年來有愈來愈多的組織開始導入安全程式弱點掃描軟體,這種採用白箱測試(靜態測試)的方式,能自動化地找出90%以上已知的程式漏洞,有助於程式設計師在開發階段進行持續的自我驗證,以及系統上線後的維運階段持續的回歸測試。但不論哪一套弱點掃描軟體都有含蓋率及誤判的問題,例如:不支援Spring MVC,就掃不出任何弱點。或是明顯可被攻破的弱點,卻未被列入Risk的弱點清單,明顯誤判。因此,想要有效預防程式安全漏洞不能單靠弱點掃描軟體,必須具備人工撰寫滲透測試案例的能力,才能彌補那剩下10%無法靠弱點掃描軟體測試出來的安全漏洞。

課程時間:2014/08/23 ~ 2014/08/24

詳細課程介紹及報名網址: http://www.iiiedu.org.tw/taipei/edm/SPSAD.htm

或歡迎來電洽詢(02)6631-6586羅小姐

熱門新聞

Advertisement