仆洛宅

  參考來源： Wuson - Common-attacks  , Wiki 如翻譯或解釋有誤，歡迎提出更正。 Brute force： 蠻力攻擊 （英語：Brute-force attack） ，又稱為 窮舉攻擊 （英語：Exhaustive attack）或 暴力破解 ，是一種 密碼分析 的方法，即將密碼進行逐個推算直到找出真正的密碼為止。 Advanced Persistent Threat (APT) ：高級長期威脅（英語：advanced persistent threat，縮寫：APT），又稱高級持續性威脅、先進持續性威脅等，是指隱匿而持久的電腦入侵過程，通常由某些人員精心策劃，針對特定的目標。其通常是出於商業或政治動機，針對特定組織或國家，並要求在長時間內保持高隱蔽性。高級長期威脅包含三個要素：高級、長期、威脅。高級強調的是使用複雜精密的惡意軟體及技術以利用系統中的漏洞。長期暗指某個外部力量會持續監控特定目標，並從其獲取數據。威脅則指人為參與策劃的攻擊。 Multi-vector, polymorphic attacks Buffer Overflows： 緩衝區溢位 （buffer overflow），在 電腦學 上是指標對 程式設計 缺陷，向程式輸入 緩衝區 寫入使之溢位的內容（通常是超過緩衝區能儲存的最巨量資料量的資料），從而破壞程式執行、趁著中斷之際並取得程式乃至系統的控制權。 Mobile Code: ActiveX, JavaApplet, Flash, JavaScript Malicious Software (Malware) Drive-by download attacks： 路過式下載 ，網頁掛馬攻擊 (Drive-by Downloads) Spyware Trojan Horse Keyloggers Password Crackers Spoofing欺騙 Masquerading，偽裝 Sniffers，竊聽 Eavesdropping，竊聽（隔牆有耳） Tapping，竊聽 Emanations 流出 and TEMPEST Spontaneous emission of electromagnetic radiation” (EMR) subject to TEMPEST eavesdroppin...

 資料來源：https://secview.io/posts/6-devsecops/ DevSecOps 方法論與理念 2019.6.18 我個人其實蠻高興 DevSecOps 開始被關注，越來越多開發者和企業重視資安。但 DevSecOps 中的這個「Sec」其實不好實踐，背後連結到非常多東西。 這也是我會想來寫 DevSecOps 的原因，雖然無法一篇文章就寫完，但就一起慢聊 DevSecOps 裡面所含的大千世界。 如果你說 DevOps 拆開來會是開發（Development）、維運（Operations）和品質保證（Quality Assurance），那 DevSecOps 就是在這三者都加上資安。從程式碼安全、基礎建設（Infrastructure）、雲端服務、部署環境都考慮到資安，當然包含「人」也是。 儘管看起來不容易，至少我們相信持續發展 DevSecOps 會讓企業帶來好處：「讓資安跟上開發速度、並且讓產品更安全」。 今天這篇是一篇概覽，來跟大家分享 DevSecOps 的做法和挑戰。 DevSecOps 的定義 單純表述的話其實就是「在你所認為的 DevOps 中導入 Security」。 我曾經嘗試去問人什麼是 DevOps，雖然每個人都給我不同的答案，但 DevOps 有幾個特點是大家一致認同的：「敏捷和自動化」，也有人會再提到這是一個「文化」。我覺得 DevSecOps，其實就是在這樣 DevOps 的敏捷、自動化、文化下， 讓大家都有權力和責任來實踐資安 。 而且資安是被內化的，而不再像傳統方式只是一個外掛模組後續加上這個資安功能。像是門匠已經不是先做好門板然後在外面加釘一個栓頭，而是把門和鎖一起考慮設計並且實作。 資安風險 有體驗過 DevOps 的人會知道，開發速度不一定會跟安全性成正比，可能還會成反比。而潛在資安風險就跟技術債一樣，慢慢累積最後一次爆發。 就以企業角度來說一定會有資安風險，只是你選擇忽略它、或是控制它。 例如對大公司來說，有價值的東西通常是那些「被洩漏出來的話」會很難善後的、或是主管會被釘在牆上的那些機密和 Know-How。對小公司或新創來說，客戶資料外洩（失去客戶信用）、MVP 核心價值和功能原始碼洩漏會是潛在資安風險。 為什麼會需要 DevSecOps 但敏捷開發下，生存都來不及了怎麼顧資安？ ...

資料來源： https://kkc.github.io/2018/03/21/IPSEC-note/ IPSec 筆記 Posted by Kakashi on 2018-03-21 前言 這篇筆記是用來記錄 IPSec protocal 的一些細節，前陣子在架設 AWS VPN 的時候，遇到了一些小問題，主要還是防火牆擋到需要走的 port ，而當時就在想自己對於 IPSec protocal 也太不熟悉了，所以才有這篇文章來稍微紀錄一下。 ℬ 為什麼需要 IPSec IP is not secure，我想這點學過計算機網路的同學應該都會知道這點，而有可能受到以下的風險 source spoofing replay packets data integrity (資料受到竄改) 基本上使用 VPN 走 IPSec protocal 可以確保 CIA (似乎跟資安有關的都會提到這三個詞） Confidentiality: 利用演算法將資料加密 (DES, 3DES, AES & Blowfish) Integrity: 資料完整性，利用 hashing algorithm 保證資料沒有受到竄改 Authentication: 認證 ℬ IPSec security architecture 使用 Layer3 Network layer 這層 Application 層的大家可以無感的享受其 CIA 的好處 Components Authentication Header (AH) Encapsulation Security Payload (ESP) Security Associations (SA) 基本上我覺得要懂 IPSec，可以先來弄懂 AH & ESP 會比較重要，因為這兩個東西有對 IP packet 動手腳 ℬ Authentication Header AH 主要提供的是驗證 Data integrity & data origin source，然後沒有提供任何 加密 的功能，使用 HMAC 算法，把 payload & header 和 IKE 定義好的 key 一起拿來 hash，但這邊要小心因為 NAT 會改變 header，而被改變的話，另外一邊就沒辦法解析正確，所以...

Scrum 指南： https://scrumguides.org/docs/scrumguide/v2020/2020-Scrum-Guide-Chinese-Traditional.pdf Scrum 指南的目的   我們在 1990 年代初期開發出 Scrum 。為了協助全世界的人們了解 Scrum ，我們於 2010 年間撰寫了 Scrum 指南的首版。自那時起，我們透過小的功能更新對 Scrum 指南進行了演進。我們是 Scrum 指南的共同後盾。   Scrum 指南包含了 Scrum 的定義。為了實現 Scrum 中的全部價值和成果，框架內的各種元素都具有其特定用途。改變 Scrum 的核心設計或 Scrum 的各種理念，遺漏其中任何元素，或是不遵照 Scrum 的規則，是在掩蓋問題，並限制了 Scrum 的各種好處，甚至可能使其變得毫無用處。   我們關注到 Scrum 在錯綜複雜（ complex ）的世界中應用越來越廣泛。我們很榮幸地看到 Scrum 在許多本質上錯綜複雜（ complex ）的工作領域中被採用，超越了原本 Scrum 的起源領域 -- 軟體產品開發。隨著 Scrum 的應用範圍逐漸擴大， developers 、研究人員、分析師、科學家與其他專家都能以其工作。我們在 Scrum 中使用 「 developers 」 一詞不是為了排除其他使用者，而是為了簡化統稱。 如果您從 Scrum 當中獲得價值，那麼您可以將自己視為其中一員。   在使用 Scrum 時，可能可以找到、應用和設計符合本文所描述的 Scrum 框架內的模式、流程、見解等。它們的描述超出了本指南的宗旨，因為其中的差異跟您的 Scrum 使用環境有關。這些使用 Scrum 框架內的戰術技巧有很大的變化，因此不在此描述。   Ken Schwaber & Jeff Sutherland 2020 年 11 月  

  資料來源：https://www.trendmicro.com/vinfo/us/security/definition/sql-injection SQL 注入 ，也稱為插入，是一種惡意技術，它通過注入惡意 SQL 語句或利用錯誤輸入來利用目標網站基於 SQL 的應用軟件中的漏洞。 2013 年，開放 Web 應用程序安全項目 [OWASP] 將注入列為易受攻擊的 Web 應用程序最普遍的威脅。 SQL 注入是攻擊者用來攻擊網站的最常見的代碼注入技術之一。 一旦網站被利用，攻擊者就會嘗試獲得對服務器的 root 訪問權限，從而允許他們收集信息以及訪問網絡中的數據庫和其他設備。 2011 年 3 月，SQL 注入被用於破壞眾多網站並註入惡意腳本，觸發重定向到某些 URL，從而導致 FAKEAV 等惡意軟件。 與跨站腳本的區別 雖然這兩個漏洞都可能由網站/應用程序用戶和管理員發送的惡意代碼或數據引起，但它們的影響不同。 CSS/XSS 通常會在客戶端或訪問者端造成中斷，並可用於劫持會話、破壞網站、下載惡意內容和重定向 URL。 另一方面，注入會嚴重影響服務器端，並可能導致數據丟失等後果。 如何防止 SQL 注入攻擊 視頻：Trend Micro Tech-TV：演示和防止 SQL 注入漏洞 相關術語：跨站腳本（CSS/XSS）、網站篡改、漏洞、漏洞利用 對於企業： 使用測試工具確保部署的代碼是安全的。 企業和組織可能會投資於測試工具，例如 Web 應用程序掃描器、漏洞掃描器和靜態代碼分析器。 這些工具可幫助 IT 團隊在部署之前、期間和之後測試和評估代碼。 考慮使用 Web 應用程序防火牆。 這些在 Web 應用程序級別提供防火牆保護。 練習安全編碼。 擁有網站的公司必須採用並實施安全編碼標準。 開放 Web 應用程序安全項目 (OWASP) 是一個非營利組織，它通過社區反饋幫助 Web 開發人員、管理員和所有者練習安全編碼。 相應地修補系統和網絡。 IT 管理員應特別注意確保網絡中的所有系統都打了補丁，因為一個未打補丁的系統可能會帶來災難。 這可以防止網絡犯罪分子利用未修補/過時軟件中的漏洞。 掃描 Web 應用程序是否存在漏洞：企業需要檢查其 Web 應用程序是否存在漏洞，因為這些漏洞可能...

  CISSP考試心得-Alex Yeh 心智圖 心智圖PDF Structure Architecture Framework Approach Methodology Domain 口訣 Domain 1. Security and Risk Management   C、I、A+GRC(安全和風險管理） Domain 2. Asset Security   盤點、分類、保護（資產安全） Domain 3. Security Architecture and Engineering   時時都安全、處處都安全（安全架構和工程） Domain 4. Communication and Network Security   處處都安全（通信及網路安全） Domain 5. Identity and Access Management (IAM)   I + 3A（身分識別及存取控制） Domain 6. Security Assessment and Testing   查驗、訪談、測試（安全評鑑及測試） Domain 7. Security Operations   日常維運、持續改善（安全維運） Domain 8. Software Development Security   時時都安全、處處都安全（軟體開發安全） 美國法定目標（FISMA）/ 資通安全法 CIA Ｃ機密性：資料不被偷 Ｉ完整性：資料不被竄改 Ａ可用性：資料隨時可用 Integrity完整性 Data Integrity（資料完整性） Authenticity（資料真偽；真實性） Non-repudiation 不可否認性（法律上）：傳送方不能否認未傳收；接受方不能否認未收到。 FISMA NIST FIPS 199 NIST SP 800 資產Asset：有價值Value的東西，且值得保護 Assets 通常指資訊系統 資料 電腦系統 操作系統 軟體 網路 資料中心（機房） 人（最重要） 業務流程 資安目標（定義）： 透過安全管制措施，保護資訊資產不受到危害，以達到CIA目標 進而支持組織的業務流程 將安全融入組織業務流程（人事/採購），產銷人發財 支持組織的「產品」及「服務」持續交付 為公司創造價值，實...