本月焦點
什麼是動態應用程式安全測試?如何檢測網站安全漏洞?
更新於
隨著數位化時代來臨,為滿足使用者的需求應用程式不斷的創新與被開發,卻也加深了企業與使用者的資安風險,如何確保應用程式安全成為關注焦點。資通電腦提供 Fortify WebInspect 解決方案,協助檢測網頁應用程式或服務(Web Service)的安全漏洞,強化應用程式安全性並杜絕駭客入侵!
什麼是動態應用程式安全測試?
動態應用程式安全測試(Dynamic Application Security Test,DAST)亦稱為黑箱測試,是透過模擬駭客攻擊的手法,由外而內找出 web 應用程式漏洞的過程。DAST 掃描程序會搜索正在運行中的應用程式,當發現有 SQL 注入、NoSQL 注入、XSS、邏輯錯誤、身份驗證和授權缺陷等漏洞時會自動發送警訊。由於 DAST 工具是在動態環境中運行,因此可檢測出靜態應用程式安全測試(Static Application Security Test,SAST)工具在運行中無法識別的缺陷。
Fortify WebInspect 網站漏洞檢測解決方案
Micro Focus Fortify WebInspect是一套自動化 DAST 解決方案,提供全方位弱點偵測功能,協助安全專家與測試人員辨識安全弱點與組態問題。為了達成此一目標,它會在執行中的 Web 應用程式上模擬真實外部安全攻擊,以找出問題,並分析問題嚴重的優先順序。WebInspect 具備多種 REST API 以利整合,並可透過直覺式 UI 進行管理。
WebInspect 可偵測到哪些弱點?
除了下列弱點,透過 SmartUpdate,WebInspect 可以找出更多新型弱點,歡迎來信詢問您關心的弱點。
資料插入和操作攻擊
- 反射式跨網站指令碼(XSS)
- 常駐型 XSS
- DOM 型 XSS
- 跨網站偽造要求
- SQL 插入
- 隱碼 SQL 插入
- 緩衝區溢位
- 整數溢位
- 遠端檔案包含(RFI)插入
- 伺服器端包含(SSI)插入
- 作業系統指令插入
- 本機檔案插入(LFI)
- 參數重新導向
- 重新導向鏈結稽核
工作階段和驗證
- 工作階段強度
- 驗證攻擊
- 驗證不足
- 工作階段修復
伺服器和一般 HTTP
- HTML5 分析
- Ajax 稽核
- HTTP 標頭分析
- 用戶端技術偵測
- 安全通訊端層(SSL)憑證問題
- 支援 SSL 通訊協定
- 支援 SSL 加密
- 伺服器錯誤組態
- 目錄索引編製和列舉
- 阻斷服務
- HTTP 回應分割
- Windows® 8.3 檔案名稱
- DOS 裝置處理 DoS
- 標準化攻擊
- URL 重新導向攻擊
- 密碼自動填入
- Cookie 安全性
- 自訂模糊測試
- 路徑操作-周遊
- 路徑截斷
- WebDAV 稽核
- Web 服務稽核
- 檔案列舉
- RESTful 服務稽核
- 資訊外洩
- 目錄和路徑周遊
- 垃圾郵件閘道偵測
- 強行驗證攻擊
- 已知的應用和平台漏洞
WebInspect 提供測試人員哪些強大的診斷工具?
SQL 注入工具、編碼工具、HTTP 編輯器、規則運算式編輯器、Web 服務測試設計工具、Web 模糊測試、Web Proxy、Web 探索、伺服器分析工具等十多種工具協助掃描與分析。
延伸閱讀:
