本月焦點

資安怎麼構?利用滲透測試直擊漏洞與弱點

 廖婉孜 廖婉孜

提到企業資安意識的建構,網站安全性測試是最必要的任務。這個過程雖然單調卻十分艱鉅,除了需要確實檢查 Web 應用程序每一面向外,更要找尋應用程式、程序上;以及已安裝在應用伺服器上的程式是否有安全漏洞,才能提供堅強的防禦力,足以抵擋各式駭客攻擊。

資通電腦 Fortify WebInspect 熟悉資安專家視角,可藉由工具輔助在現行環境中提供自動掃描,及快速分析大量的 Web 應用程序和 Web 服務;還可自動模擬人工駭客攻擊該網站,建議應該增強防禦的區域。利用駭客攻擊模擬結果,能讓使用者一目了然安全漏洞所在,加強防禦應用系統安全,達到資安威脅的預防。

WebInspect 滲透測試讓資安漏洞、弱點無所遁形

  • WebInspect 使用爬網與稽核模式來確認安全弱點,爬網可展開目標網站架構連結,並自動判別網站連結,直至每一結構終點為止,稽核則提供實際漏洞掃描。
  • WebInspect 提供有價值、有結構組織的應用程序訊息報告,並可依照需求提供不同詳細程度及級別的報告。還可根據特定客戶提供不同級別設定,將設定設為範本,由系統自動產製該範本報告,其報告格式包含 PDF、HTML、Excel、Raw、RTF 或 Text 格式,亦可加入漏洞數據圖形摘要說明。
  • 透過 WebInspect 可執行智慧化人工駭客控制,直接察看網站實際上模擬駭客攻擊網站結果,並顯示其漏洞及標註其網頁,系統管理者即可依據漏點進行強化及修改。
  • 顯示漏洞掃描結果與摘要並提供修復建議,引用參考資料包括修補程序、問題預防說明,及提供漏洞之解決方案,且提供相關連結資料參考。
  • 擁有 WebInspect 即擁有最新的漏洞檢查;及相對應完整解決方案,在啟動時即自動檢查更新。
  • WebInspect 提供可編輯或定義掃描策略設定,除符合企業需求,亦可相對應減少掃描所需時間。
  • 當執行或查看掃描結果時,WebInspect 可依據站點、序列、搜索及同步模式,透過標籤式介面,檢閱和控制多個同步掃描及報告。
    1. 站點圖示:提供掃描站點的分層網站結構,顯示服務器返回 Http 狀態代碼及檢測之漏洞數。
    2. 序列圖示:提供自動掃描或手動爬網過程之順序顯示服務資源。
    3. 搜索圖示:可依條件查詢結果。
    4. 同步模式:可於手動掃描站點中直接選擇站點圖示或序列圖示查詢掃描狀況。
  • 特定的網頁服務界面(web service)進行安全掃描:可以對 WSDL 類型及 RESTful 的站台進行蒐集(Crawl),並且提供帳號密碼、憑證等認證機制來做安全性測試。
  • Web Service Test Designer 提供網站互動式掃描,提供執行 Web 服務掃描時可加入參數值。
  • 其支援之 AP Server 包括:IBM WebSphere、Adobe ColdFusion、Microsoft.NET、Lotus Domino、BEA Weblogic、Macromedia JRun、Macromedia JRun、Oracle Application Server、Jakarta Tomcat 等。