網頁弱點掃描
【弱掃】Acunetix網頁弱點掃描,網站漏洞應立即修補|天矽科技網頁設計
Acunetix是什麼
Acunetix Web Vulnerability Scanner 是一款用來檢查網站的安全漏洞,並掃描整個網站弱點的軟體。
不是每個架設完成的網站都會做資安措施,因此根據統計,世界上有高達70%的網站能發現可利用漏洞,而這些漏洞可能導致網站資料遭到竊取、盜用。
雖然可以透過添加防火牆、SSL憑證或鎖定伺服器來維護網路安全,但對於駭客來說,他們可以無視並輕易破解這些資安措施,專注尋找目標網站的漏洞進行攻擊,若網站有中高風險的漏洞,就很容易將資料外洩。
為什麼要使用Acunetix
Acunetix弱點掃描分為軟體與硬體的模擬攻擊,攻擊方式會以模擬駭客的操作手法來攻擊網站,之後再將漏洞整理成報告,讓負責方做風險排除。如:天矽科技負責軟體的中高風險排除,而主機公司則負責硬體的中高風險排除。
將風險排除、漏洞填補後,則可降低被駭客攻擊的機會,也能大幅提升網站的資訊安全。
網站安全漏洞
根據中華資安的觀察研究報告顯示,在2021上半年的網站攻擊趨勢,國內企業網站平均有4個以上的高風險漏洞,尤其是剛上線且未經資安檢測的網站,更有高達7成可以直接駭入。
網站的4個漏洞包括:
- 跨站指令碼攻擊 (Cross site scripting, XSS)
- SQL程式碼注入攻擊 (SQL Injection)
- 遠端程式執行碼漏洞
- 伺服器目錄遊走攻擊(Server Directory Traversal)
而在2021年末,在世界各地又爆出一個可能引發駭客大舉入侵與攻擊的網路漏洞,這個漏洞就是被廣為使用的伺服器軟體「Log4j」中的缺陷,全世界的研究工程人員都在積極地修補漏洞。資料來源:伺服器爆資安漏洞 全球補破網
接著,以全球資安參考標竿OWASP (Open Web Application Security Project)所提供的2021十大網站安全風險排行榜顯示,就算網站加入了某些驗證機制,仍有可能出現安全破口,排名如下。
2021 OWASP Top 10
- 權限控制失效Broken Access Control
- 加密機制失效 Cryptographic Failures
- 注入式攻擊Injection
- 不安全設計 Insecure Design
- 安全設定缺陷 Security Misconfiguration
- 危險或過舊的元件 Vulnerable and Outdated Components
- 認證及驗證機制失效 Identification and Authentication Failures
- 軟體及資料完整性失效 Software and Data Integrity Failures
- 資安紀錄及監控失效 Security Logging and Monitoring Failures (民調)
- 伺服端請求偽造 Server-Side Request Forgery (SSRF) (民調)
資料來源:OWASP_Top10
由上述之案例與研究報導可見,網站漏洞確實是一件需要認真正視的一項資訊安全問題。
網站Acunetix弱點掃描
天矽科技有提供網站弱點、滲透式掃描之高資安方案(下方有報告說明),也能提供協助風險排除,如有需要可以直接與我們聯繫。
延伸閱讀:【網站資訊安全】高資安解決方案|案例分享
Acunetix Web Vulnerability Scanner資安軟體檢測項目如下:
- 跨網站指令碼攻擊 (Cross site scripting, XSS)
- SQL程式碼注入攻擊(SQL injection)
- 程式碼執行攻擊(Code execution)
- 目錄遊走(Directory traversal)
- 檔案引入攻擊弱點(File inclusion)
- 網站程式原始碼暴露(Script source code disclosure)
- CRLF 注入攻擊
- 跨頁框指令碼攻擊(Cross frame scripting)
- 供應商承諾應對防毒、系統及所使用應用軟體持續進行安全性更新
- 正式上線前須檢附當下網站版本的安全檢測報告
中高風險排除方式 (軟/硬體)
- 軟體程式高中風險處理 (天矽科技處理排除)
- 硬體主機高中風險處理 (硬體廠商處理排除)
- 網站上線時指定以Acunetix Web Vulnerability Scanner資安軟體安全檢測報告
- 報告內容針對網站軟體程式的高、中風險,天矽科技會進行排除處理
Acunetix Developer Report
以下為Acunetix生產之報告範例擷取。
更多詳細的資訊安全方案,如WAF防火牆、獨立主機、SSL…等,歡迎與天矽科技聯繫!
