本日議程
- 正確設置 Web 及 db 服務
- 第三方元件檢測與分析
- 案例分享及解析
正確設置 Web 及 db 服務
可以參考規範標準 NIST,建議觀看編號 SP 800-44 Version2 的文件,此篇文件 Guidelines on Securing Public Web Servers 都是說明 Web 相關的安全性。
例外,微軟也寫了一堆說明,而且很詳細。還有 Open Security Architecture 上的介紹,此篇可以看出詳細職能的區分。
第三方元件檢測與分析
關於檢測的部分,需要考量第三方元件是否安全、是否有外洩的可能;可以觀看這篇資料安全軟體測試參考指引
案例分享及解析
此篇主題就省略了…
附錄
此篇附上介紹的工具與講師提到的部分資料。
coin & able
15 年沒改過的軟體,請注意使用 XD
以下是三套進行檢測的工具
Nessus
主要針對協定的弱點掃描
進入下載頁面,選擇 Nessus Home 這樣就可以免費使用了,接著安裝,然後進行[序號申請](https://www.tenable> .com/products/nessus-home),要啟用需要進行序號申請(序號申請失敗請更換瀏覽器試試)
- ARP
ip 跟 mac 的對應 table,可以掃描 ip 就會對應到 mac,有 mac 就會掃到 ipWeb Applications 家用版沒有提供,只有付費版才有,而且掃出來的結果跟 Zap 一模一樣,所以使用 Zap 就好
N-stalker
檔案下載前需要填寫資料,如果 Chrome 送不出去,請使用其他瀏覽器
安裝完成後,直接啟動,如有需要更新請先行更新喔;然後就可以直接掃描了
掃描完成後會有 Report,裡面會有錯誤編號,這些編號可以查詢 CVE 弱點庫
OWASP ZAP
安裝完成後,直接執行,輸入想要測試的 url 然後點下 攻擊
mimikatz
一個方便取得密碼的指令集工具
指令集
privilege::debug