sans top 20 security vulnerabilities software applications
このチュートリアルの例を使用して、ソフトウェアアプリケーションにおけるSANSのトップ20の重大なセキュリティ脆弱性を学習して理解します。
言葉 なし 普通の辞書の単語ではなく、 SysAdmin 、 監査 、 通信網 、および セキュリティ 。
このチュートリアルでは、ソフトウェアプログラムに見られるSANSのセキュリティ上の弱点トップ20と、それを軽減するためにできることについて学習します。
学習内容:
- SANがサイバーセキュリティコミュニティに与える影響
- ソフトウェアのSANSトップ20の重大な脆弱性のリスト
- #1)CWE-119:メモリバッファエラー
- #2)CWE-79:クロスサイトスクリプティング
- #3)CWE-20:未検証の入力エラー
- #4)CWE-200:機密情報の公開エラー
- #5)CWE-125:範囲外の読み取りエラー
- #6)CWE-89:SQLインジェクション
- #7)CWE-416:以前に解放されたメモリ
- #8)CWE-190:整数オーバーフローエラー
- #9)CWE-352:クロスサイトリクエストフォージェリ
- #10)CWE-22:ディレクトリトラバーサル
- #11)CWE-78:OSコマンドインジェクション
- #12)CWE-787:範囲外の書き込みエラー
- #13)CWE-287:不適切な認証エラー
- #14)CWE-476:NULLポインターの逆参照
- #15)CWE-732:不正なアクセス許可の割り当て
- #16)CWE-434:無制限のファイルアップロード
- #17)CWE-611:XMLエンティティを介した情報公開
- #18)CWE-94:コードインジェクション
- #19)CWE-798:ハードコードされたアクセスキー
- #20)CWE-400:制御されていないリソース消費
- よくある質問
- 結論
SANがサイバーセキュリティコミュニティに与える影響
による なし 、 なし 研究所は、研究教育機関として設立されました。そのさまざまなセキュリティプログラムは非常に包括的であり、世界中の165,000人を超えるセキュリティ専門家にプラスの効果をもたらしています。
SANSからのこの種の報道やその他の肯定的なレビューにより、SANSは世界で最も信頼され、InfoSecトレーニングとさまざまなセキュリティ認定を行う最大の組織になっていると言っても過言ではありません。
この記事では、ソフトウェアを攻撃に対して脆弱にする可能性のあるSANSの上位20のエラーと、これらのエラーを軽減するために実装できるセキュリティ制御の一部に焦点を当てます。 20以上を見つけることができますが、上位20の脆弱性について説明します。
ソフトウェアのSANSトップ20の重大な脆弱性のリスト
- CWE-119 :メモリバッファエラー
- CWE-79 :クロスサイトスクリプティング
- CWE-20 :未検証の入力エラー
- CWE-200 :機密情報の公開エラー
- CWE-125 :範囲外の読み取りエラー
- CWE-89 :SQLインジェクション
- CWE-416 :空きメモリエラー
- CWE-190 :整数オーバーフローエラー
- CWE-352 :クロスサイトリクエストフォージェリ
- CWE-22 :ディレクトリトラバーサル
- CWE-78 :OSコマンドインジェクション
- CWE-787 :範囲外の書き込みエラー
- CWE-287 :不適切な認証エラー
- CWE-476 :NULLポインターの間接参照
- CWE-732 :不正な権限の割り当て
- CWE-434 :無制限のファイルアップロード
- CWE-611 :XMLエンティティを介した情報公開
- CWE-94 :コードインジェクション
- CWE-798 :ハードコードされたアクセスキー
- CWE-400 :制御されていないリソース消費
CWEという用語はどういう意味ですか?
ザ・ 一般的な弱点の列挙 (CWE) は、コミュニティで承認されたソフトウェアとハードウェアの脆弱性のリストであり、各弱点に識別コードが割り当てられています。目標は、ソフトウェアとハードウェアのさまざまな欠陥を特定して、それらすべての欠陥を修正および軽減できるようにすることです。
#1)CWE-119:メモリバッファエラー
この欠陥は通常、SDLCのアーキテクチャと設計、実装、運用の各段階で発生します。
このバッファオーバーフローは、アプリケーションプロセスがメモリに保持できるよりも多くのデータを格納しようとしたときに発生します。バッファは特定のレベルのデータしか格納できず、そのレベルに到達してそれを超えると、データは別のメモリ位置に流れ、そのバッファにすでに含まれているデータが破損する可能性があります。
このインシデントは、プログラミングエラーによって偶発的に発生することがありますが、データが消去されたり、機密情報が盗まれたり、このバッファオーバーフローが原因でアプリケーション全体がクラッシュしたりする可能性があるため、後遺症は悲惨なものになる可能性があります。
以下の例は、8バイトのストレージが割り当てられたバッファーを示しています。しかし、実行のために送信されたデータが増えたため、2バイトオーバーフローしました。
[画像 ソース ]
#2)CWE-79:クロスサイトスクリプティング
クロスサイトスクリプティング(XSS)は、通常、悪意のある攻撃者または攻撃者がWebブラウザを介して実行できるWebアプリケーションに悪意のあるまたは有害なスクリプトを挿入したときに発生する挿入攻撃です。悪意のあるスクリプトが侵入先のシステムに侵入すると、さまざまな悪意のあるアクティビティを実行するために使用される可能性があります。
悪意のある活動の中には、セッション情報を含むCookieなどの個人情報を被害者のコンピューターから攻撃者のコンピューターに転送する形で行われるものがあります。
クロスサイトスクリプティングの発生:
- 未検証および信頼できないデータがWebフォームリクエストを介してWebアプリケーションに入力された場合。
- Webアプリケーションがこの悪意のあるデータを含むWebページを即座に出力する場合。
- ページを生成するプロセス中に、ソフトウェアは、HTMLやJavaScriptなどのWebブラウザで実行できるコンテンツを格納するデータに対する検証に失敗します。
- 被害者は、信頼できないデータを使用して挿入された悪意のあるスクリプトを格納しているWebブラウザを介して生成されたページに無意識のうちにアクセスします。
- 悪意のあるスクリプトは、攻撃者のWebサーバーから送信されたページから取得され、侵害されたシステムのWebブラウザが悪意のあるスクリプトの処理に進みます。
- このアクションは、同一生成元に関するWebブラウザのポリシーに違反します。このポリシーでは、あるドメインからのスクリプトが、独自のドメイン以外の別のドメインでリソースにアクセスしたり、コードを実行したりしてはならないことを規定しています。
[画像 ソース ]
#3)CWE-20:未検証の入力エラー
アプリケーションは入力を受け取りますが、処理のためにシステムに受け入れられるために必要なすべての詳細が含まれているかどうかにかかわらず、入力の検証に失敗します。
入力サニタイズがある場合、これを使用して潜在的に危険な入力をチェックし、入力がソースコードで安全に処理できることを確認するか、他のコンポーネントとの通信に必要な入力であるかどうかを確認できます。
このような入力が適切にサニタイズまたは検証されていない場合、攻撃者が悪意のある入力を送信する道が開かれ、メインアプリケーションが寛大に処理します。これにより、制御フロー、リソースの任意の制御、または任意のコードが変更されます。実行。
以下の画像は、優れたアプリケーションがスクリプトやコマンドを入力として受け入れてはならないことを示しています。このような入力が適切にサニタイズされていない場合、アプリケーションはそれが有効なリクエストであると見なして処理します。
[画像 ソース ]
#4)CWE-200:機密情報の公開エラー
これは、アプリケーションが故意および無意識のうちに、これらの情報にアクセスする権限を持たない攻撃者に対して機密で機密性の高い情報を公開した場合に発生します。
さまざまなエラーにより、この情報が攻撃者に公開されます。このエラーの重大度は、アプリケーションが動作するコンテキスト、公開される機密情報の種類、および公開された情報からアクターが何を取得できるかによって異なります。
以下は、公開される可能性のある機密情報です。
- 個人メッセージ、財務データ、健康状態の記録、地理的な場所、連絡先などの個人情報
- システム構成の詳細と環境、 例えば、 オペレーティングシステムとインストールされているパッケージ
- 事業記録と知的財産
- ネットワーク構成の詳細
- 内部アプリケーションの状態
- メッセージヘッダーのようなメタデータ
アプリケーションやWebサイトで、データベース接続エラー、実行時エラー、ネットワークエラーなどの技術的な問題が発生する場合があります。
このようなエラーが開発中に適切に処理されない場合、つまりアプリケーションがエラーメッセージを表示する場合、攻撃者が下の画像のような悪意のある目的で使用できる可能性のある情報を公開する可能性があります。
c ++挿入ソートアルゴリズム
#5)CWE-125:範囲外の読み取りエラー
これは通常、アプリケーションが通常のレベルを超えて、バッファの最後または最初の前にデータを読み取るときに発生します。これにより、攻撃者が他のメモリ位置から機密情報を読み取るための特権のないアクセスが可能になり、システムまたはアプリケーションのクラッシュにつながる可能性もあります。
コードがデータを読み取り、文字列に適用されるNULLのように読み取り操作を停止するインジケーターがあると考えると、クラッシュが確実に発生します。
次のコードでは、関数は配列インデックスの場所から値を取得します。これは、関数への入力パラメーターです。
[画像 ソース ]
上記のコードから、関数は、指定された配列インデックスが配列の最大長よりも短いことを確認しますが、最小値の検証に失敗することがわかります。
この検証解除により、入力配列インデックスとして負の値が受け入れられ、範囲外の読み取りが発生し、機密メモリへのアクセスが可能になります。
入力配列インデックスが配列に必要な最大範囲と最小範囲内にある場合は、それを確認する必要があります。
以下の例を確認すると、最小範囲の検証を含めるためにIFステートメントを変更する必要があることがわかります。
#6)CWE-89:SQLインジェクション
SQLインジェクション はセキュリティの脆弱性の一種であり、攻撃者は、リソースへのアクセスを取得したり、アクセスが許可されていないデータを変更したりするために、構造化クエリ言語(SQL)コードをWebフォーム入力ボックスに挿入します。
この脆弱性は、設計、実装、および運用の各段階でアプリケーションに導入される可能性があります。
このSQLクエリが行うことは、データベースに対していくつかの情報を許可なく要求することです。通常の入力操作では、Webフォームがユーザー認証に使用されます。ユーザーがテキストボックスに名前とパスワードを入力すると、これらの値がSELECTクエリに挿入されます。
入力値が正しい場合、ユーザーはアプリケーションまたは要求へのアクセスを許可されますが、値が正しくない場合、アクセスは拒否されます。
今日の一部のWebフォームには、悪意のある入力をブロックするメカニズムがありません。攻撃者は入力ボックスを使用して、悪意のある要求をデータベースに送信できます。この単一の要求により、機密情報を含む可能性のあるデータベース全体へのアクセスを許可できます。
#7)CWE-416:以前に解放されたメモリ
この問題は、解放された後のメモリの参照が原因で発生し、プログラムのクラッシュにつながる可能性があります。以前に解放されたメモリを使用すると、有効なデータの破損、欠陥のタイミングに依存する任意のコードの実行などの悪影響が生じる可能性があります。
2つの一般的な原因は次のとおりです。
- ソフトウェア内およびその他の例外的な場合のエラー状態。
- プログラムのどの部分が空きメモリを引き起こしたかについての説明はありません。
この場合、メモリは解放された直後に別のポインタに割り当てられます。解放されたメモリへの以前のポインタが再び使用され、新しい割り当ての周りのどこかを指します。データが変更されるまでに、これにより使用済みメモリが破損し、アプリケーションが未定義の方法で動作する可能性があります。
#8)CWE-190:整数オーバーフローエラー
計算がアプリケーションによって処理され、結果の値が正確な値よりも大きくなるという論理的な仮定がある場合、整数オーバーフローが発生します。ここで、整数値は、場所に格納できない値に増加します。
これが発生すると、値は通常、非常に小さい値または負の値になるように折り返されます。ラッピングが予想される場合は問題ありませんが、ラッピングが予期しない場合はセキュリティに影響する可能性があります。このシナリオが発生すると、結果がループの管理、セキュリティの決定、メモリの割り当てなどに使用されるため、クリティカルと呼ばれる可能性があります。
この弱点は、一般的に不安定な動作につながり、クラッシュにつながる可能性があります。値がフローよりもデータにとって重要である場合、単純なデータ破損が発生する可能性があります。ただし、ラップアラウンドによってバッファオーバーフローなどの条件がさらに発生する場合は、メモリが破損する可能性があります。
この問題により、バッファオーバーフローが引き起こされる可能性があり、攻撃者が任意のコードを実行するために使用される可能性があります。この整数オーバーフローエラーは通常、SDLCの設計および実装段階でシステムに導入されます。
#9)CWE-352:クロスサイトリクエストフォージェリ
これは、要求が実際に適切なユーザーからのものであるかどうかに関係なく、WebアプリケーションがHTTP要求を十分に検証しない場合です。 Webサーバーは、すべての要求を受け入れ、それらに応答するように設計されています。
クライアントが1つまたは複数のセッション内で複数のHTTPリクエストを送信するとします。ウェブサーバーがすべてのリクエストが本物であるかどうかを知ることは非常に困難であり、通常は処理されます。攻撃者は、クライアントに特別に細工されたWebページにアクセスするように強制し、資金移動、電子メールアドレスの変更など、いくつかの要求を実行できるようになる可能性があります。
攻撃者はすぐにアクセスでき、データを盗むことができ、データを破壊することさえできます。彼らはいつでもアクセスを維持でき、アクセスが完了すると、監査ログを危険にさらして、エクスプロイトを公開する可能性のある将来のフォレンジックを防ぐことができます。
次の画像は、攻撃者がユーザーに意図しないアクションを実行させることを示しています。
#10)CWE-22:ディレクトリトラバーサル
ディレクトリトラバーサルまたはファイルパストラバーサルは、攻撃者が現在アプリケーションを実行しているサーバー上の任意のファイルを読み取ることを可能にするWebセキュリティの脆弱性です。
これらのファイルは、アプリケーションコード、バックエンドシステムの資格情報、およびオペレーティングシステムファイルである可能性があります。他のシナリオでは、攻撃者がサーバー上のこれらの任意のファイルに書き込むことができ、アプリケーションデータや動作を変更できる可能性があります。これにより、攻撃者はサーバーを完全に制御できるようになります。
[画像 ソース ]
#11)CWE-78:OSコマンドインジェクション
これは、ダウンストリームコンポーネントに送信される目的のOSコマンドの変更につながる可能性のある特別な要素の不適切なサニタイズに関するものです。攻撃者は、これらの悪意のあるコマンドをターゲットオペレーティングシステムで実行し、読み取りや変更が想定されていない環境にアクセスする可能性があります。
これにより、攻撃者は常に危険なコマンドをオペレーティングシステムに直接実行することができます。
この脆弱性が特権プログラムで発生するたびに、攻撃者は環境で許可されているコマンドを使用したり、攻撃者が持っていない特権で他のコマンドを呼び出したりすることができ、発生する可能性のある損害の量が増える可能性があります。
#12)CWE-787:範囲外の書き込みエラー
これは、アプリケーションが指定されたバッファーの終わりを超えて、または開始する前にデータを書き込むときに発生します。
これが発生すると、通常、データの破損、システム、またはアプリケーションのクラッシュが発生します。アプリケーションが行うことは、バッファ境界の外側のメモリ位置を参照する際に使用されるある種のポインタ演算です。
#13)CWE-287:不適切な認証エラー
これは、攻撃者が有効なIDを持っていると主張しているが、ソフトウェアがその主張が正しいことを確認または証明できなかった場合です。
ソフトウェアがユーザーのログイン情報を誤って検証する結果、攻撃者はアプリケーション内で特定の特権を取得したり、機密データにアクセスして任意のコードを実行したりする機密情報を開示する可能性があります。
#14)CWE-476:NULLポインターの逆参照
nullポインターの逆参照は、アプリケーションが有効な結果を返すはずのポインターを逆参照し、代わりにNULLを返し、これがクラッシュにつながる場合です。ヌルポインタの逆参照は、競合状態やプログラミングエラーなどの多くの欠陥によって発生する可能性があります。
NULLポインターを使用して実行されるプロセスは通常失敗につながり、プロセスを実行する可能性は非常に低くなります。これは、攻撃者が悪意のあるコードを実行するのに役立ちます。
[画像 ソース ]
#15)CWE-732:不正なアクセス許可の割り当て
この脆弱性は、悪意のあるユーザーがアクセスできるようにリソースを公開するような方法で、アプリケーションが非常に重要で重要なリソースにアクセス許可を割り当てるときに発生します。
多くの人にリソースへのアクセス許可を与えると、攻撃者によって機密情報が公開または変更される可能性があります。リソースへのアクセス許可の割り当てに対するこの種のアプローチに対するチェックが実施されていない場合、プログラム構成または一部の機密データが悪用された場合、非常に悲惨な結果につながる可能性があります。
#16)CWE-434:無制限のファイルアップロード
この脆弱性は、アプリケーションがファイルをアプリケーションにアップロードする前にファイルタイプを検証しない場合に発生します。この脆弱性は言語に依存しませんが、通常、ASPおよびPHP言語で記述されたアプリケーションで発生します。
危険なタイプのファイルは、アプリケーション環境内で自動的に処理できるファイルです。
次のプログラムは、PHPファイルのアップロードを示しています。ファイルタイプは、webrootディレクトリ内にアップロードする前に検証および妥当性確認されませんでした。この弱点の結果として、攻撃者は任意のPHPファイルをアップロードし、アップロードされたファイルに直接アクセスして実行する可能性があります。
#17)CWE-611:XMLエンティティを介した情報公開
XMLドキュメントが処理のためにアプリケーションにアップロードされ、このドキュメントに、目的の場所とは異なる別の場所にある別のドキュメントに解決されるURIを含むXMLエンティティが含まれている場合。この異常により、アプリケーションが誤ったドキュメントを出力に添付する可能性があります。
XMLドキュメントには、XMLエンティティやその他の機能を定義するために使用されるドキュメントタイプ定義(DTD)が含まれている場合があります。 DTDを介して、URIは置換文字列の形式として機能できます。 XMLパーサーが行うことは、URI(Uniform Resource Identifier)に含まれているものにアクセスし、これらのコンテンツをXMLドキュメントに入力して実行することです。
[画像 ソース ]
#18)CWE-94:コードインジェクション
ユーザーのデータにコード構文が存在すると、攻撃者が計画された制御動作を変更して任意のコードを実行する可能性が高くなります。この脆弱性は「インジェクションの弱点」と呼ばれ、この弱点によりデータ制御がユーザー制御になる可能性があります。
この脆弱性は、ソフトウェアが信頼できないデータをコードに許可し、コードセグメントの動作と構文の両方に悪影響を与える可能性のある特殊文字の検証を実行しないシナリオを示しています。
つまり、攻撃者はある種の任意のコードを挿入して、アプリケーション内で実行する可能性があります。次のPHPコードは、信頼できないデータでのeval()関数の使用法を示しています。以下のコードでは、攻撃者は「param」パラメータを任意のコードに渡すことができ、ソフトウェアで実行されます。
以下の例は、への呼び出しを説明しています phpinfo() 関数。この脆弱性は、system()呼び出しを介してターゲットソフトウェア上で任意のOSコマンドを実行するために、他でさらに悪用される可能性があります。
#19)CWE-798:ハードコードされたアクセスキー
これは、パスワードとアクセスキーが、インバウンド認証と一部の外部コンポーネントへのアウトバウンド通信、および内部データの暗号化のために、アプリケーションに直接ハードコードされている場合です。通常、ハードコードされたログインの詳細は、攻撃者がソフトウェア管理者によって構成された認証をバイパスするための道を開く脆弱性を引き起こします。
システム管理者は、この脆弱性を検出して修正するのが非常に難しいと常に感じています。
この弱点には2つの主な流れがあります。
- インバウンド :アプリケーションには、ハードコードされた詳細に対して入力資格情報を検証する認証システムが含まれています。
- アウトバウンド :アプリケーションは別のシステムに接続し、他のシステムに接続するための詳細はシステムにハードコードされています。
インバウンドストリームには、常にデフォルトの管理者アカウントが作成され、それにアクセスするための資格情報がアプリケーションにハードコードされ、そのデフォルトの管理者アカウントに関連付けられます。
ハードコードされた詳細は通常、アプリケーションのすべてのインストールで同じものであり、これを変更したり無効にしたりすることはできません。システム管理者でさえ、アプリケーションを手動で変更できることを除いて、権利を持っていません。パスワードが一般に公開された場合、攻撃者はアプリケーション全体にアクセスして、自分の利益のためにそれを操作することができます。
アプリケーションのすべてのインストールは同じパスワードを持っているため、別々の組織にインストールされている場合でも、組織のすべての境界を越えて非常に大規模な攻撃を引き起こす可能性があります。 例えば、 アプリケーションにワームを注入し、それが拡散します。
アウトバウンドストリームは、バックエンドサービスで認証するフロントエンドシステムにのみ適用されます。バックエンドサービスには、簡単に検出できるハードコードまたは固定パスワードが必要な場合があります。プログラマーが行うことは、これらのバックエンド資格情報をフロントエンドソフトウェアにハードコーディングすることです。そのアプリケーションのすべてのユーザーがパスワードを抽出できる可能性があります。
パスワードとアクセスキーがハードコードされているクライアント側のソフトウェアは、通常、ハードコードされていないソフトウェアよりも脅威が大きくなります。これは、バイナリからのパスワードの抽出は通常、非常に簡単に実行できるためです。
#20)CWE-400:制御されていないリソース消費
この脆弱性は、アプリケーションが割り当てと限られたリソースの保守を適切に制御していない場合に発生します。これにより、攻撃者は消費されるリソースの量に影響を与えることができ、最終的には利用可能なリソースの枯渇につながります。
限られたリソースの一部には、メモリ、ファイルシステムストレージ、データベース接続プールエントリ、およびCPUが含まれます。
攻撃者がこれらの限られたリソースの割り当てをトリガーでき、リソースの数またはサイズが制御されていない場合、攻撃者は利用可能なすべてのリソースを消費するサービス拒否によって混乱を引き起こす可能性があると仮定します。
これが発生すると、有効なユーザーがアプリケーションにアクセスできなくなり、常に環境に悪影響を及ぼします。 例えば、 アプリケーションメモリが枯渇攻撃を受けると、アプリケーション全体とホストオペレーティングシステムの速度が低下する可能性があります。
リソースの枯渇につながる可能性のある3つの異なるインスタンスは次のとおりです。
- 割り当てられたリソースの数に対するスロットルの不足
- シャットダウン段階に達する前に、リソースへのすべての参照を失う
- 処理後のリソースのクローズ/リターンの失敗
リソース枯渇の問題は通常、次のシナリオの誤った実装の結果です。
- エラー状態およびその他の例外的な状況。
- プログラムのどの部分がリソースを解放するかについては、さまざまな反応があります。
次の例は、この脆弱性の性質を示し、リスクを軽減するために使用できる方法を説明するのに役立ちます。
次の例は、脆弱性を説明しています。
[画像 ソース ]
このプログラムは、確立された接続の数を追跡せず、使用可能な接続の数を制限しません。フォークは、攻撃者が多数の接続を確立することによってシステムのCPU、プロセス、またはメモリを使い果たすために使用する方法の1つにすぎません。
攻撃者が行うことは、利用可能なすべての接続を消費し、他の人がシステムにリモートでアクセスできないようにすることです。
よくある質問
Q#1)SANSは何の略ですか?
回答: SANSは、SysAdmin、Audit、Network、およびSecurityの略です。
Q#2)脆弱性の例をいくつか挙げてください。
回答:例は次のとおりです。
- ソフトウェアの脆弱性
- ファイアウォールの脆弱性
- ネットワークの脆弱性
- オペレーティングシステムの脆弱性
- Webサーバーの脆弱性
- データベースの脆弱性
Q#3)脅威と脆弱性の違いは何ですか?
回答: 脅威 システムの既存の脆弱性を介してコンピュータシステムまたはアプリケーションに損害を与えようとして、悪意のあるまたは望ましくない行為を実行する可能性です。 例: ランサムウェア。
脆弱性 システム内に存在する弱点であり、攻撃者からの不要なアクセスや不正アクセスが組織に害を及ぼす可能性があります。 例: ファイアウォールの設定ミス。
Q#4)最も一般的な脆弱性は何ですか?
Javaで配列を追加する方法
回答:これらは次のとおりです。
- SQLインジェクション
- クロスサイトスクリプティング
- セキュリティの設定ミス
- 機密データの公開
- 壊れた認証
- セッション管理
結論
このSANSのトップ20の脆弱性リストは、ルールやポリシーではありませんが、ソフトウェアの脆弱性を回避する方法についてのガイドです。私たちが開発者であろうとセキュリティの専門家であろうと、アクターが悪意のある行為を実行するためのバックドアを作成する可能性のあるアプリケーションの脆弱性につながる可能性のある間違いを回避するために何ができるかについては、このガイドに従う必要があります。
推奨読書
- セキュリティテスト(完全ガイド)
- Acunetix Web脆弱性スキャナー(WVS)セキュリティテストツール(ハンズオンレビュー)
- ネットワーク脆弱性評価および管理ガイド
- 2021年のトップ10の最も強力な脆弱性評価スキャンツール
- 脆弱性評価と侵入テストの違い
- Jenkins Security:セキュリティとプロジェクトセキュリティマトリックスの有効化
- ソフトウェアのテスト中に避けるべきサイバーセキュリティの間違いトップ4
- 10最高のネットワークセキュリティソフトウェア[2021トップセレクティブのみ]