產品 / 服務簡介
網站應用程式服務為目前國內公部門、教育單位、中小企業網站最普遍的開放網路服務之一,由於單位網站具網路公開性(80, 443 通訊埠),易遭受駭客入侵。除了單位主機系統弱點漏洞或網站伺服器設定錯誤容易遭受駭客利用外,另一容易遭受駭客攻擊的就是動態網站應用程式弱點(例如:SQL Injection與Cross-Site Scripting)。網站開發人員在撰寫網站應用程式時,若無考慮網站應用程式的安全機制,則駭客可以透過特殊的攻擊字串或手法,任意存取網站及資料庫的資訊。
網站應用程式弱點掃描可針對受測單位網站主機系統進行安全性檢查與測試,以檢視單位受測的網站系統訊既有控制措施之安全性與妥適性,發現網站可能之潛在資通安全威脅與弱點,同時藉以實施技術面及管理面相關控制措施,以改善並提升受測單位資通安全防護能力。
功能特色
松之安資訊安全測試團隊遵循網站應用程式測試需遵循 OWASP 標準之規範,以及遵循 SANS 標準之網路安全問題(Top 20 Internet Security Problems, Threats and Risks)進行驗證。作業服務以遠端操作為原則,但受測單位若有其他特殊作業之 需求而須至單位場所作業時,應事前告知本公司並經雙方協調同意後辦理,並符合受測單位資訊安全規範之要求限制。
本公司所提供之網站應用程式弱點掃描服務為遠端黑箱滲透測試,透過模擬各種駭客攻擊方式,安全測試流程如上圖所示,執行三大主要步驟: (1)目標探索與資訊蒐集、(2)執行網站應用程式弱點掃描與(3)檢測報告提交。執行測試的第一步驟便是收集受測標的之相關資訊,確認標的主機之網域與IP,了解受測網域內主機所使用之作業系統,並尋找網站是否使用已知弱點之套件,蒐集網站管理者的帳號資料,利用工具軟體建立測試任何駭客可能使用的密碼清單,以嘗試登入目標網路取得管理權限。
進行網站應用程式弱點掃描時,會透過工具軟體協助進行掃描與攻擊,並同時透過專業資安檢測人員手動驗證判斷的方式,嘗試取得系統更高權限進而控制整個網站。網站弱點掃描測試可檢測出之漏洞包含諸如資料隱碼(SQL Injection)、跨站腳本攻擊(XSS)、不安全的組態設定(Security Misconfiguration)等問題,亦會進一步深入探索問題可影響的深度及廣度,檢視現行資安防護措施對於網路攻擊行為的實際抵禦效能,分析系統防護及架構設計不足之處。
