現行多數網站大都使用 Web Service 提供服務,例如:手機資料傳送或是網站功能資料界面,而在這些界面上若產生安全上的問題,則會導致資料外洩或是個人資料被盜取。因此,Fortify WebInspect 除了掃描網站,同時也提供 Web Service API 安全檢測以及手機用戶端模擬功能,讓使用者能檢測手機網站,以提升網站掃描的精準度。
WebInspect Mobile 手機網站掃描
- 主要是掃描行動網站而不是 app。
- 系統架構:安裝 Fortify WebInspect 在主機電腦或筆電上,針對可以進行功能測試的網站平台或 Web Services 進行檢測。
- 兩種掃描方式:
- Mobile Scan 模擬手機來掃描:模擬 Windows Phone、Android、iPhone 等行動裝置來掃描。
- Native Scan 錄製手機封包來掃描:利用 WebInspect 做為 Proxy server 錄製手機上執行的封包,然後進行掃描。
如何用 Mobile Scan 與 Native Scan 掃描檢測行動網站?
Mobile Scan 手機模擬掃描
-
啟動 Mobile Scan
啟動 Mobile Scan 開始模擬手機掃描。
-
參數設置
參數設置完後,就可以在 Fortify WebInspect 的瀏覽器中顯示手機網頁。
Native scan 錄製手機封包掃描
-
開始 Native Mobile Scan
開始 Native Mobile Scan 錄製手機封包來掃描。
-
參數設定
Profile、Host、Port 等參數設定。
-
掃描結果
系統提供最終檢測報告及漏洞修補建議,資通電腦顧問則會分析檢測報告,依可行性及適切性給予建議,協助軟體程式公司更精準的執行修補工作。
