本月焦點

Fortify WebInspect 行動網站掃描,免除資安疑慮

現行多數網站大都使用 Web Service 提供服務,例如:手機資料傳送或是網站功能資料界面,而在這些界面上若產生安全上的問題,則會導致資料外洩或是個人資料被盜取。因此,Fortify WebInspect 除了掃描網站,同時也提供 Web Service API 安全檢測以及手機用戶端模擬功能,讓使用者能檢測手機網站,以提升網站掃描的精準度。

WebInspect Mobile 手機網站掃描

  • 主要是掃描行動網站而不是 app。
  • 系統架構:安裝 Fortify WebInspect 在主機電腦或筆電上,針對可以進行功能測試的網站平台或 Web Services 進行檢測。
    檢測網站平台或 Web Services
  • 兩種掃描方式:
    1. Mobile Scan 模擬手機來掃描:模擬 Windows Phone、Android、iPhone 等行動裝置來掃描。
    2. Native Scan 錄製手機封包來掃描:利用 WebInspect 做為 Proxy server 錄製手機上執行的封包,然後進行掃描。

如何用 Mobile Scan 與 Native Scan 掃描檢測行動網站?

Mobile Scan 手機模擬掃描

  1. 啟動 Mobile Scan
    啟動 Mobile Scan

    啟動 Mobile Scan 開始模擬手機掃描。

  2. 參數設置

    參數設置完後,就可以在 Fortify WebInspect 的瀏覽器中顯示手機網頁。

Native scan 錄製手機封包掃描

  1. 開始 Native Mobile Scan
    Native Mobile Scan

    開始 Native Mobile Scan 錄製手機封包來掃描。

  2. 參數設定

    Profile、Host、Port 等參數設定。

  3. 掃描結果

    系統提供最終檢測報告及漏洞修補建議,資通電腦顧問則會分析檢測報告,依可行性及適切性給予建議,協助軟體程式公司更精準的執行修補工作。