網站弱點掃描流程步驟
全球數位化趨勢加劇網路安全風險,駭客常利用應用程式漏洞進行攻擊,凸顯出軟體安全及軟體測試的重要性。運用 Fortify WebInspect 動態應用程式檢測,在執行中的 Web 應用程式上模擬駭客行為自動化進行攻擊,找出漏洞問題並分析問題嚴重的優先順序。更透過資通電腦 Fortify 顧問團隊提供專業的網頁弱點掃描(黑箱檢測)服務與流程,有效協助企業防禦軟體漏洞的資安風險。
黑箱檢測前置作業:
- 簡單敘述網站功能。
- 是否需登入才能進入網站使用?一個帳號是否同時僅能登入一次?
- 帳號是否有權限控管?最好可提供一個具有所有功能權限的帳號進行掃描。
- 是否使用圖形驗證碼(Captcha)?
- 大約有幾個頁面(page)?在可輸入欄位最多的頁面中,其欄位數量有多少?
- 網站操作流程中是否需要倚賴其他系統才能完成?若有,是否可隔離?
- 是否有 SSL?SSL 3.0?TLS?
- 掃描期間禁用 WAF、防毒軟體、防火牆及 IDS/IPS 工具。
- 排除掃描對象,例如:修改密碼、退出會員…等。
- 掃描前先備份資料,避免資料被打壞。
弱點掃描報告產出形式:
- 提供多種標準報告樣式,包含:
- Vulnerability:弱點詳情與建議修補方式。
- Compliance:合規性樣式,包含 GDPR、HIPPA、ISO27001、OWASPTop 10、PCIDSS…等數十種。
- 其他
- 提供六種格式:EXCEL、HTML、PDF、RAW、RTF、TEXT。
延伸閱讀:
