111年交通事業公路人員升資員級晉高員級資訊管理與資通安全
一、資通安全責任等級分級辦法對於 A、B 級機關的應辦事項要求,具有對外服務之核心資通系統應備 WAF,請問 WAF 的中、英文全名為何?(6分)請說明 WAF 的運作方式?(9分)為了檢視資通系統所在環境之安全性及驗證入侵的可行性,會進行滲透測試之做法與執行程序為何?(10分) |
答:
(一)WAF的中、英文全名
網頁應用程式防火牆 (Web Application Firewal, WAF)
(二)WAF的運作方式
1.透過檢查所要求與回應封包的內容,分析研判是否符合應用程式原本的設計,以達到更安全的防護。
2.可以處理所有 HTTP、HTTPS、SOAP、XML-RPC、Web Service 協定,檢查使用者送出的網頁要求是否符合防火牆規則,再決定是否協助使用者取回網頁。
3.檢查的內容包含網頁所要求的模式 (HTTP Method)、所要求的網頁位址、所要求的網址參數、網頁餅乾 (cookie)、所要求上傳的資料欄位等等,當所有項目都明列在防火牆規則所允許的項目中時,該網頁要求才會被放行取得對應網頁。
(三)進行滲透測試之做法與執行程序
1.測試前預備:
進行滲透測試之前,應該先跟甲方協商測試範圍、測試期間及時段、測試方法或使用工具、測試判定條件等。協商結果應該作成滲透測試同意書及執行計畫書。
2.啟動會議:
依據執行計畫書規劃的時程,在進行測試之前由甲方與乙方相關人員共同召開啟動會議,乙方於會議中說明預計進行事項及時程規畫,如果甲方對乙方的說明事項無異議時,即宣布測試作業正式開始。
3.資訊蒐集:
(1)測試作業的第一步就是從 Internet 上蒐集受測目標相關資訊。
(2)使用黑箱模式時,甲方只告知乙方受測目標的 URL,乙方必須設法找出受測目標對應的資訊及週邊設備的 IP,或者透過系統的歷史頁面 (https://archive.org) 探索已經被發現的漏洞等。
4.網路與主機掃描:弱點評估
確定受測目標的 IP 後,可以嘗試跟受測目標互動,以取得開啟的通訊埠列表、使用的作業系統、網路應用程式名稱與版本以及是否存在已知的弱點,甚至可以找出網站的負責人、維護人員,或者潛在使用者的資訊 (如 email),這些對猜測系統的帳號、密碼會有所幫助。
5.弱點利用:
在上一步驟中找到任何可疑的漏洞,可以在此階段驗證,利用這些可能的弱點,嘗試取得系統的控制權限或存取機敏資料。