分類: CISSP

通過審核（查看日誌）來跟踪“誰做了什麼”來確定或確定責任制。記帳記錄“已完成的工作”，而身份驗證則標識並驗證“誰做了”。不管活動是否被授權，都應記錄或記錄該活動，如下圖/ OSG問題所示。
但是，懲罰措施是基於責任確認後的授權。授權的行為將不會受到懲罰，而未經授權的行為將受到懲罰。

-圖片來源：CISSP官方學習指南（OSG）在線測試銀行

定義不一致（Inconsistent Definitions）
此問題旨在促使AAA，身份驗證，授權和計費的定義保持一致。用“審計”或“問責制”代替“會計”的最後一個“ A”並不少見。我強烈建議使用“會計”，因為無法進行審計，並且如果不進行會計就無法得出問責制。我的帖子《另一個AAA》也談到了這個問題。
無論我們從字面上解釋它還是將其與NIST詞彙表或RFC等權威資料進行比較，官方學習指南（OSG）中對審計和會計的以下描述在邏輯上都是不合理的。
審核記錄與系統和主題相關的事件和活動的日誌記帳（也稱為問責制）審核日誌文件以檢查合規性和違規性，以使主題對其行為負責

斯圖爾特（James M.）查普，邁克；吉布森，達里爾。CISSP（ISC）2認證的信息系統安全專業人士官方學習指南（Kindle位置1737-1739）。威利。Kindle版。

會計（Accounting）
在財務會計中，“會計是記錄與業務有關的財務交易的過程。會計過程包括匯總，分析這些交易並將其報告給監督機構，監管機構和稅收實體。”（investopedia）
在IT中，記帳是“出於趨勢分析，審計，計費或成本分配目的而收集有關資源使用情況的信息的行為。” （RFC 3539）
簡而言之，會計跟踪活動並記錄日誌。審計跟踪是用於審計的相關日誌的集合，或“按時間順序的記錄，用於重建和檢查與安全相關的事務（從開始到最終結果）中圍繞或導致特定操作，過程或事件的活動順序。” （CNSSI 4009）

稽核（Auditing）
稽核是“獨立審查和檢查記錄和活動，以評估系統控制的充分性，以確保遵守既定的政策和操作程序。” （CNSSI 4009）
問責制是“安全性目標，它產生了將實體的操作唯一地追溯到該實體的要求。” （CNSSI 4009）

驗證（Authorization）
驗證請求的身份的行為，它是來自相互已知的名稱空間的預先存在的標籤形式的消息，它是消息的始發者（消息身份驗證）或通道的端點（實體身份驗證）。（RFC 3539）

授權（Authorization）
確定特定權利（例如對某些資源的訪問權）是否可以授予特定憑證的提交者。（RFC 3539）
參考
. 基於風險的稽核
. 什麼是會計？
. RFC 3539：身份驗證，授權和會計（AAA）傳輸配置文件
. RFC 2866：RADIUS記帳

資料來源： Wentz Wu QOTD-20210211

訪問控制機制
通常通過三種機制來管理或控制訪問：身份驗證，授權和會計（AAA）。
. 身份驗證是“驗證用戶，進程或設備的身份的過程，通常將其作為允許訪問信息系統中的資源的先決條件”。（FIPS 200）
識別是主體聲明或聲稱具有身份以便身份驗證過程可以繼續進行的過程。
. 授權是“驗證請求的操作或服務是否已批准用於特定實體的過程。” （NIST SP 800-152）
. 會計是記錄主題和對象活動的條目或日誌的過程，就像保留財務會計日記帳一樣。

會計，審計和問責制（又是AAA）
日誌是會計的工作成果。可以通過查看或檢查（審核）一組相關日誌（審核記錄）以唯一地將活動跟踪到實體來實現問責制。
. 問責制是“安全性目標，它產生了將實體的操作唯一地追溯到該實體的要求。” （NIST SP 800-33）
. 審計是“獨立審查和檢查記錄和活動，以評估系統控制的充分性，以確保遵守既定的政策和操作程序。” （NIST SP 800-12 Rev.1）
. 審核跟踪是“按時間順序的記錄，用於重建和檢查與安全相關的事務中從開始到最終結果的周圍或導致特定操作，程序或事件的活動順序。” （NIST SP 800-53修訂版4）

定義不一致
我以與Sybex CISSP官方學習指南相反的方式對待會計和審計。它將審核定義為“記錄與系統和主題相關的事件和活動的日誌”，而將會計（也稱為問責制）定義為“查看日誌文件以檢查合規性和違規性，以使主體對其行為負責。”

資料來源： Wentz Wu 網站

-HTTP請求（來源：Chua Hock-Chuan）

測試人員在HTTP請求中操縱URL的查詢字符串是一個濫用案例，例如GET / customer / delete？country = all。甚至最終用戶也可以通過添加或修改瀏覽器地址欄中的URL和查詢參數來提交HTTP GET請求。在RESTful API流行之前，使用HTTP謂詞GET實現CRUD（創建，檢索，更新和刪除）數據操作並不罕見，該行為容易受到濫用/濫用攻擊。

誤用/濫用案例(Misuse/Abuse Case)
濫用案例可以定義為：
一種使用實現者不期望的功能的方法，允許攻擊者根據攻擊者的動作（或輸入）影響功能或使用功能的結果。
資料來源：OWASP

Synopsys定義了一個濫用案例，如下所示：
–濫用和濫用案例描述了用戶如何濫用或利用軟件功能控件的弱點來攻擊應用程序。
–當對業務功能的直接攻擊（可能帶來收入或提供積極的用戶體驗）受到攻擊時，這可能會導致切實的業務影響。
–濫用案例也可以成為提高安全性要求的有效方法，從而可以對這些關鍵業務用例提供適當的保護。
資料來源：OWASP

模糊測試（Fuzz Testing）
模糊測試用於通過提供隨機生成的測試數據來測試接受結構輸入的應用程序。我們沒有看到測試中使用了任何隨機數據。

壓力測試（Stress Testing）
壓力測試側重於性能和可伸縮性；網絡，CPU，內存的工作量逐漸增加，以一定程度的工作量和系統上限來觀察系統性能。測試中沒有關於性能和可伸縮性的任何提示。

綜合交易（Synthetic Transaction）
從嚴格意義上講，合成交易是一種主動的網站“監視”技術，通過在網絡瀏覽器中部署行為腳本來模擬真實客戶（或最終用戶）通過網站的路徑來完成。但是，合成交易對於高流量站點（例如電子商務）在發布之前進行測試至關重要。（monitis）

參考
. HTTP（超文本傳輸協議）基礎
. 代碼審查
. 模糊測試
. 回歸測試
. 什麼是綜合事務監控（誰需要它？…）
. 濫用案例備忘單

資料來源： Wentz Wu QOTD-20210209

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

費根檢查是一種依靠組檢查方法的正式檢查，即使它可以針對有限的一組預先確定的常見軟件錯誤自動進行。

• 模糊測試或模糊測試(Fuzzing or fuzz testing)是一種自動化的軟件測試技術，涉及將由模糊器生成的無效，意外或隨機數據作為輸入提供給計算機程序。然後監視程序是否存在異常，例如崩潰，內置代碼斷言失敗或潛在的內存洩漏。通常，模糊器用於測試採用結構化輸入的程序。（維基百科）
• 用戶界面測試(User interface testing)可以自動化。本文“ GUI測試工具的比較”中有詳細信息。
• 代碼檢查(Code review)（有時稱為對等檢查）是一種軟體質量保證活動，其中一個或幾個人主要通過查看和讀取程序的部分源代碼來檢查程序，他們在實施後或中斷實施時進行檢查。在靜態代碼分析中（static code analysis），主要檢查由自動化程序執行。（維基百科）

費根檢查（Fagan Inspection）

費根檢查是試圖在軟體開發過程的各個階段中發現文檔中的缺陷（例如源代碼或正式規範）的過程。它以邁克爾·法根（Michael Fagan）的名字命名，後者被認為是正式軟體檢查的發明者。

儘管已證明費根檢查方法非常有效，但已有多個研究人員提出了改進建議。例如，Genuchten一直在研究電子會議系統（EMS）的使用，以提高會議的效率並取得積極成果。

其他研究人員提出了使用軟體的功能，該軟件可以保留檢測到的錯誤的數據庫，並自動掃描程序代碼以查找這些常見錯誤。這又將導致生產率的提高。

資料來源：維基百科

參考

• 代碼審查
• 模糊測試
• 回歸測試
• 法根檢查
• GUI測試工具比​​較

資料來源： Wentz Wu QOTD-20210208

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文