近年隨著數位科技應用日益增長,企業對應用程式的依賴也與日俱增,伴隨而來的資安威脅越來越複雜與嚴峻。駭客常利用應用程式中的漏洞發動攻擊,不僅影響企業的日常營運,還可能損害信譽,導致經營危機,這使得軟體安全與檢測的重要性不容忽視。
資通電腦 Fortify 顧問團隊提供 WebInspect 網站安全檢測(黑箱測試)服務與流程,可協助企業透過自動化攻擊找出潛在漏洞、進行修復,以確保網站的安全性。現在馬上就來看,進行網站安全檢測前需要準備什麼,以及注意哪些事項呢?
注意事項
1、敏感資料:
- 使用 WebInspect 進行測試時,請勿使用可能涉及敏感性的資料,例如:真實的使用者名稱及密碼。
- 不允許任何人未經授權存取敏感資料,例如:存取 WebInspect 掃描、相關產出及資料儲存。
2、防火牆、防毒軟體和入侵檢測系統:
掃描期間禁用 WAF(Web Application Firewall;應用程式防火牆)、防毒軟體、防火牆和 IDS(Intrusion Detection System;入侵偵測系統)/ IPS(Intrusion Prevention System;入侵防禦系統)工具。
3、掃描前需要先備份資料,避免資料被打壞。
黑箱檢測前討論事項
通常顧問團隊會先與客戶開一個前置會議,討論以下作業事項,讓客戶了解執行目的後,才會開始進行 WebInspect 掃描作業。
| 項目 | 目的 |
|---|---|
| 簡單敘述網站的功能。 | 用來檢核是否全部功能頁面都有掃描。 |
|
|
|
如需 Login,必須提供一個有全部權限的帳號以進行全功能頁面的掃描。 |
| 是否使用圖形驗證碼(Captcha)?是否可停用? | Captcha 的目的為防止機器人登入,如無法停用,WI 只能使用互動式掃描,必須有人在掃描期間全程參與,將大大降低掃描效率。 |
|
用來評估掃描規模。 |
|
若無法隔離,可能造成大量測試資料及漿液存取,影響其他系統正常功能。 |
| 加密方式:SSL?SSL 3.0?TLS? | 方便 WI 進行精細設定。 |
| 若有 WAF、IPS/IDS,是否可 Disable? | 模擬當 WAF、IPS/IDS 失效時,網站本身漏洞有哪些。 |
| 排除掃描對象:如修改密碼、退出會員…等。 | 避免登入帳號被修改。 |
延伸閱讀:
