自救必看三大準則

原碼掃描工作紀錄

以下是系統測試與原始碼掃描建議的軟體及簡介

原碼掃描:HP Fortify SCA VCG(Visual Code Grepper)
網頁弱點掃描:OWASP ZAPVega
主機弱點掃描:OpenVASNikto、Kali
壓力測試:JMeter+Badboy、Load Runner (試用版最多只能測50人同時上線)
網站效能測試:SONAR

軟體介紹:

1.          VCG】一個 Freeware 免費軟體,再來就是它可以檢測的程式語言,包含支援 C/C++C#VBPHPJavaPL/SQL 等等,它所產出的測試報告除了可以明確指出有風險的程式碼之外,還可以提供建議的修正方法,並有圖表說明各種程度的風險所佔的百分比,還可以將掃描結果另存成文字檔,以提供正式測試報告說明使用。
2.          OWASP ZAPOWASP Zed Attack Proxy(簡稱 ZAP) 20109月從Open Web Application Security Project (OWASP) 開發,ZAP 是一個測試網頁程式漏洞工具,並設有簡單易用的介面,目的是讓網頁開發員測試自己開發的網頁是否安全,從而找出漏洞的原因。ZAP是一個開放源碼(Open Source) 軟體免費提供給使用者,並提供20種語言,包括英文和中文。
3.          VEGA】可用來取代Nessus軟體。OpenVAS全名是Open Vulnerability Assessment System。這是一套open source,免費而且功能強大、UI 介面容易了解且上手的一套網站資訊安全測試工具。
4.          OPENVASOpenVASOpen Vulnerability Assessment System)是一套自由軟體(Open Source)的弱點掃描檢測工具。它可以幫助使用者找出目前使用或管理的主機系統是否存在可能被攻擊的系統或程式漏洞,並提供可能的解決方法。
5.          Nikto 是一款開放源碼的Web 掃描工具,可進行全面的Web 伺服器多個項目測試,包括3500 個潛在危險的文件/CGI 檢測,搜集了超過900 個有問題的伺服器版本以及250 個特定的問題。掃描項目和外掛經常更新,且本程式亦支援自動更新。
6.          SONARSonar 可檢測無障礙、互動性、效能、安全性及漸進式網頁應用程式(Progressive Web App,簡稱 PWA)等問題,如果發現錯誤,Sonar 也會提示使用者發生錯誤的檔案路徑及解決方式。

留言

張貼留言

這個網誌中的熱門文章

IIS - ASP.NET 網站基本優化設定

圖片
  運行 ASP.NET 基本上都是掛載在 IIS 上面,但 IIS 預設的設定,並不適合 24 小時不中斷的營運系統。 如果沒有適當的調整,可能會造成使用者的感受不佳,而你又偏偏不會遇到。 本篇將介紹 IIS 運行 ASP.NET 網站的基本優化設定。 應用程式集區 打開 IIS 管理員,到應用程式集區,選擇網站後,開啟進階設定: 1. 一般 (General) 佇列長度 (Queue Length) 預設值是  1000 ,當封包數量在同一時間到達該指定值,之後的 Request 都會變成 HTTP Status 503 Service Unavailable。 例:當有同時間有 1001 個 Request 一起送到 IIS,第 1001 個 Request 會直接回傳 503,不會進到 ASP.NET 處理。 也不是無限大就好,也是要看伺服器等級。 假設調成 10000,也真的有同時 10000 的量,可能會演變成  CPU High  的問題。 因此,這個欄位沒有建議值,網站封包量很大才有需要調整這個欄位。 啟動模式 (Start Mode) 預設值是  OnDemand ,當網站執行回收後,會等到第一個 Request 進來,IIS 才會把網站啟動。 所以第一個連上來的使用者會等到比較久的時間,ASP.NET 初始化完成後,使用者才會得到回應。 建議設定成  AlwaysRunning ,當網站執行回收後,IIS 就會直接啟動 ASP.NET。 2. 回收 (Recycling) 固定時間間隔 (Regular Time Interval) 預設值是  1740 ,也就是每隔 29 小時 IIS 就會把該網站重啟。 很可能重啟當下使用者正在操作,對於要 24 小時不中斷的系統來說,這真的是很不妥當的事情。 如果 ASP.NET 的 Session Mode 是用 InProc,網站重啟使用者就全被登出了。 建議設定成  0 ,也就是關閉定期重啟網站的設定。 如果網站真的需要定期重啟,可以在 特定時間 (Specific Times)  設定,固定每天哪些離峰時間做重啟的動作。 3. 快速失敗保護 (Rapid-Fail Protection) Enabled 預設值是...
閱讀完整內容

Node.js 部署至 IIS 站台

圖片
基於公司網路架構的規定 記錄一下自己是如何成功將手邊的 Node.js 部署到 iis 上。 一、安裝工具 以下三樣,順序固定 .安裝 node-v14.17.5-x64.msi 的node工具 https://drive.google.com/file/d/1oMVvy0p4ViP7v-EMA8vPqIghy_ulW_Af/view?usp=sharing .安裝 iis 的 rewrite_amd64_en.US.msi https://drive.google.com/file/d/1O1J-NuiGpNywGesuqCeSEcFSfjKluFzN/view?usp=sharing .安裝 iisnode-full-v0.2.21-x64.msi https://drive.google.com/file/d/1ijIW1Zz4rXrkW8F-aJQ5AA4vDromFfog/view?usp=sharing 二、建立IIS站 .首先建立「應用程式集」 -識別:NetworkService 三、建立 web.config .兩個方式 -自己為站台的情形,貼上以下內容 <configuration> <system.webServer> <!-- indicates that the server.js file is a node.js application to be handled by the iisnode module -->  <handlers>   <add name="iisnode" path="server.js" verb="*" modules="iisnode" />  </handlers> <rewrite>  <rules>   <rule name="sendToNode">    <match url="/*" />    <action type="Rewrite" url="server.js" />   </rule...
閱讀完整內容

遇見 Parameters 參數上限之大量資料寫入方法

圖片
遇到 Too many parameters were provided in this RPC request. The maximum is 2100. 的狀況時的處理模式 前言: 因為導入資安專案後,同仁已經針對 SQL 語法改採用 Parameters.Add 的方法撰寫。 但近來 HR 同仁因為有大量資料寫入的需求,遇到 Parameters 參數使用超過  2100  個的上限的例子 (如下圖) The incoming tabular data stream (TDS) remote procedure call (RPC) protocol stream is incorrect. Too many parameters were provided in this RPC request. The maximum is 2100.  以下紀錄兩個方法,處理這問題: Parameters.Add 批次寫入。 SqlBulkCopy 大量資料寫入。 實作(一) Parameters.Add 批次寫入: 一樣使用 Parameters.Add,但會依 Parameters.Count 批次寫入資料 ( 效率差 ) protected void Button1_Click ( object sender, EventArgs e ) { //================================================== // // 1. 加入參考:System.Transactions // 2. using System.Transactions; // //================================================== //引用stopwatch物件 (計算執行時間) Stopwatch sw = new Stopwatch(); sw.Start(); //創造 DataTable,準備來接資料 DataTable dt = new DataTable(); dt.Columns....
閱讀完整內容