We exchange opinions each other, and come into the highlights as following :
1. Input Validation (輸入驗證):
- 檔案上傳檢查 (病毒, 檔案大小, 沙箱檢查)
- 輸入值檢查 (SQL/I , Cross-Site Scripting)
2. Zero Trust Model (零信任模式) :
2. Zero Trust Model (零信任模式) :
解決合法帳號濫用情境
- 借帳號使用 :會影響不可否認性 (non-repudiation)
- 大量使用超過合理範圍
- 最小權限授權
- 特權帳號管理
3. Variable Range Check (變數範圍檢查) :
3. Variable Range Check (變數範圍檢查) :
- 案例【原油期首現負數 平不了倉?金管會要追】: 系統分析時,你會想到有一天油價會到達 負值嗎 ? 原油期貨出現史上首見的負價值,期貨商下單系統卻沒有「負值」可供投資人平倉,證期局副局長蔡麗玲23日表示,已主動要求期貨商公會調查各期貨商交易系統,了解本月21日有多少投資人是因為下單系統無負值,不能下單平倉,若是期貨商系統問題,金管會將要求期貨商「也要負點責任」。https://udn.com/news/story/7238/4507155
4. 威脅種類與所需措施
威脅種類 所需措施 Spoofing Authenticity Tampering Integrity Repudiation Non-repudiability Information disclosure Confidentiality Denial of Service Availability Elevation of Privilege Authorization
沒有留言:
張貼留言