8月 06
◆軟體工程(系統管理、資安、研發、設計)是我們資訊服務業的基本功,由二位同仁進行報告分享,透過討論融入同仁日常工作,第一位同仁報告重點(資訊安全簡介、弱點掃描(VA)、滲透測試(PT)、弱點掃描與滲透測試差異);有關資訊安全介紹三個組織所公佈、具參考價值與指標的研究報告:
。OWASP Top 10 Most Critical Web Application Security Risks
。CWE/SANS Top 25 Most Dangerous Software Errors
。WASC Threat Classification Enumeration View
整合三篇報告之共通性與衝擊性之後目前最廣泛攻擊方法:
。注入問題 (Injection)
。跨網站指令碼攻擊(Cross-Site Scripting;XSS)
。跨網站偽造請求 (Cross-Site Request Forgery ;CSRF)
。Session 使用及管理的疏漏
。重新導向的安全性問題
。驗證與授權的安全問題
第二位同仁報告「公司資訊安全及Server概況」,大綱:網路架構、網路防護機制、VM Server現況、NAS現況、持續工作及未來想法;他提醒同仁在網路方便與資訊安全之抉擇:
。資訊安全人人有則。
。安裝防毒軟體和定期做病毒掃描。
。定期做資料備份(至少兩份以上異地備份)。
。定期更新微軟漏洞和第三方軟體的更新。
。不隨便開啟來路不明或主旨怪異的電子郵件。 
