技術交流

快速了解 Fortify WebInspect 網頁弱點掃描與服務流程

弱點掃描流程步驟

全球數位化趨勢加劇網路安全風險,駭客常利用應用程式漏洞進行攻擊,凸顯出軟體安全及軟體測試的重要性。運用 Fortify WebInspect 動態應用程式檢測,在執行中的 Web 應用程式上模擬駭客行為自動化進行攻擊,找出漏洞問題並分析問題嚴重的優先順序。更透過資通電腦 Fortify 顧問團隊提供專業的網頁弱點掃描(黑箱檢測)服務與流程,有效協助企業防禦軟體漏洞的資安風險。

黑箱檢測顧問服務流程

黑箱檢測前置作業:

  • 簡單敘述網站功能。
  • 是否需登入才能進入網站使用?一個帳號是否同時僅能登入一次?
  • 帳號是否有權限控管?最好可提供一個具有所有功能權限的帳號進行掃描。
  • 是否使用圖形驗證碼(Captcha)?
  • 大約有幾個頁面(page)?在可輸入欄位最多的頁面中,其欄位數量有多少?
  • 網站操作流程中是否需要倚賴其他系統才能完成?若有,是否可隔離?
  • 是否有 SSL?SSL 3.0?TLS?
  • 掃描期間禁用 WAF、防毒軟體、防火牆及 IDS/IPS 工具。
  • 排除掃描對象,例如:修改密碼、退出會員…等。
  • 掃描前先備份資料,避免資料被打壞。

弱點掃描報告產出形式:

  • 提供多種標準報告樣式,包含:
    • Vulnerability:弱點詳情與建議修補方式。
    • Compliance:合規性樣式,包含 GDPR、HIPPA、ISO27001、OWASPTop 10、PCIDSS…等數十種。
    • 其他
  • 提供六種格式:EXCEL、HTML、PDF、RAW、RTF、TEXT。
漏洞說明範例
修復說明範例

延伸閱讀:

閱讀更多