網站弱點掃描流程步驟
全球數位化趨勢加劇網路安全風險,駭客常透過 Web應用程式漏洞進行攻擊,導致企業資料外洩、系統癱瘓,甚至影響品牌信譽。為了有效降低風險,許多企業選擇使用 Fortify WebInspect 動態應用程式檢測工具,進行網站漏洞偵測,可在 Web 應用程式上模擬駭客行為,自動化執行攻擊測試,找出漏洞問題並分析問題嚴重的優先順序提供修補建議。搭配資通電腦 Fortify 顧問團隊提供專業的網頁弱點掃描(黑箱檢測)服務與流程,有效協助企業防禦軟體漏洞的資安風險。
黑箱檢測顧問服務流程說明
以下為黑箱弱點掃描的標準流程:
1. 接受測試需求
客戶單位提供需測試的網站或 Web Service 系統資訊。
2. 黑箱檢測前置作業:
顧問團隊與客戶確認技術細節,準備工作如下:
- 簡單敘述網站功能。
- 是否需登入才能進入網站使用?一個帳號是否同時僅能登入一次?
- 帳號是否有權限控管?最好可提供一個具有所有功能權限的帳號進行掃描。
- 是否使用圖形驗證碼(Captcha)?
- 大約有幾個頁面(page)?在可輸入欄位最多的頁面中,其欄位數量有多少?
- 網站操作流程中是否需要倚賴其他系統才能完成?若有,是否可隔離?
- 是否有 SSL?SSL 3.0?TLS?
- 掃描期間禁用 WAF、防毒軟體、防火牆及 IDS/IPS 工具。
- 排除掃描對象,例如:修改密碼、退出會員…等。
- 掃描前先備份資料,避免資料被打壞。
3. 執行弱點掃描(黑箱測試)
使用 Fortify WebInspect 對目標網站執行自動化模擬攻擊,找出潛藏漏洞。
4. 產出檢測報告
完成測試後,系統將自動生成詳細報告,包含發現的漏洞、等級評估與說明。
5. 報告解說與技術建議
顧問協助解讀檢測結果,提供風險排序與修補建議。若發現重大弱點,須進行修復後再次確認。
結案
確認問題已修正無重大弱點,即可結案,完成本次網站弱點掃描任務。
弱點掃描報告產出形式:
- Fortify WebInspect 提供多種標準報告樣式,包含:
- Vulnerability:弱點詳情與建議修補方式。
- Compliance:合規性樣式,包含 GDPR、HIPPA、ISO27001、OWASPTop 10、PCIDSS…等數十種。
- 其他
- 提供六種格式:EXCEL、HTML、PDF、RAW、RTF、TEXT。
結語:網站資安防護,從弱點掃描開始
網站是企業對外的主要窗口,也是駭客鎖定的目標之一。透過 Fortify WebInspect 的自動化黑箱測試與專業顧問服務,企業能快速掌握網站風險,並有效強化防護能力。
現在就啟動您的網站弱點掃描計畫,別讓漏洞成為資安破口!
延伸閱讀:
