天矽科技 line

天矽部落格最新的網路趨勢資訊

網站設計趨勢

Acunetix網頁弱點掃描,網站漏洞應立即修補|天矽科技網頁設計

部落格:Acunetix網頁弱點掃描,網站漏洞應立即修補|天矽科技網頁設計

 

根據統計,有高達70%的網站能發現可利用並攻擊的漏洞,尤其是剛上線且未經資安檢測的網站更是可以直接駭入,因此利用Acunetix做網頁弱點掃描並排除風險,就顯得極為重要。

Acunetix是什麼

 

 Acunetix Web Vulnerability Scanner 是一款用來檢查網站的安全漏洞,並掃描整個網站弱點的軟體。

 不是每個架設完成的網站都會做資安措施,因此根據統計,世界上有高達70%的網站能發現可利用漏洞,而這些漏洞可能導致網站資料遭到竊取、盜用。

 雖然可以透過添加防火牆SSL憑證或鎖定伺服器來維護網路安全,但對於駭客來說,他們可以無視並輕易破解這些資安措施,專注尋找目標網站的漏洞進行攻擊,若網站有中高風險的漏洞,就很容易將資料外洩。

 

Hackertoweb

 

為什麼要使用Acunetix

 Acunetix弱點掃描分為軟體硬體的模擬攻擊,攻擊方式會以模擬駭客的操作手法來攻擊網站,之後再將漏洞整理成報告,讓負責方做風險排除。如:天矽科技負責軟體的中高風險排除,而主機公司則負責硬體的中高風險排除。

 將風險排除、漏洞填補後,則可降低被駭客攻擊的機會,也能大幅提升網站的資訊安全。

 

風險排除

 

網站安全漏洞

 

 根據中華資安的觀察研究報告顯示,在2021上半年的網站攻擊趨勢,國內企業網站平均有4個以上的高風險漏洞,尤其是剛上線且未經資安檢測的網站,更有高達7成可以直接駭入。資料來源中華資安:企業網站平均逾4個高風險漏洞

網站的4個漏洞包括:

  1. 跨站指令碼攻擊 (Cross site scripting, XSS)
  2. SQL程式碼注入攻擊 (SQL Injection)
  3. 遠端程式執行碼漏洞
  4. 伺服器目錄遊走攻擊(Server Directory Traversal)

 

 而在2021年末,在世界各地又爆出一個可能引發駭客大舉入侵與攻擊的網路漏洞,這個漏洞就是被廣為使用的伺服器軟體Log4j」中的缺陷,全世界的研究工程人員都在積極地修補漏洞。資料來源伺服器爆資安漏洞 全球補破網

 接著,以全球資安參考標竿OWASP (Open Web Application Security Project)所提供的2021十大網站安全風險排行榜顯示,就算網站加入了某些驗證機制,仍有可能出現安全破口,排名如下。

 

2021 OWASP Top 10

  • 權限控制失效Broken Access Control
  • 加密機制失效 Cryptographic Failures
  • 注入式攻擊Injection
  • 不安全設計 Insecure Design
  • 安全設定缺陷 Security Misconfiguration
  • 危險或過舊的元件 Vulnerable and Outdated Components
  • 認證及驗證機制失效 Identification and Authentication Failures
  • 軟體及資料完整性失效 Software and Data Integrity Failures
  • 資安紀錄及監控失效 Security Logging and Monitoring Failures (民調)
  • 伺服端請求偽造 Server-Side Request Forgery (SSRF) (民調)

資料來源OWASP_Top10

2021owasp_top10

 

 由上述之案例與研究報導可見,網站漏洞確實是一件需要認真正視的一項資訊安全問題。

 

網站Acunetix弱點掃描

 

 天矽科技有提供網站弱點、滲透式掃描之高資安方案(下方有報告說明),也能提供協助風險排除,如有需要可以直接與我們聯繫。

延伸閱讀【網站資訊安全】高資安解決方案|案例分享

 

Acunetix Web Vulnerability Scanner資安軟體檢測項目如下:

  1. 跨網站指令碼攻擊 (Cross site scripting, XSS)
  2. SQL程式碼注入攻擊(SQL injection)
  3. 程式碼執行攻擊(Code execution)
  4. 目錄遊走(Directory traversal)
  5. 檔案引入攻擊弱點(File inclusion)
  6. 網站程式原始碼暴露(Script source code disclosure)
  7. CRLF 注入攻擊
  8. 跨頁框指令碼攻擊(Cross frame scripting)
  9. 供應商承諾應對防毒、系統及所使用應用軟體持續進行安全性更新
  10. 正式上線前須檢附當下網站版本的安全檢測報告

 

中高風險排除方式 (軟/硬體)

  1. 軟體程式高中風險處理 (天矽科技處理排除)
  2. 硬體主機高中風險處理 (硬體廠商處理排除)
  3. 網站上線時指定以Acunetix Web Vulnerability Scanner資安軟體安全檢測報告
  4. 報告內容針對網站軟體程式的高、中風險,天矽科技會進行排除處理

 

Acunetix Developer Report

 以下為Acunetix生產之報告範例擷取。

AcunetixDeveloperReport-1

AcunetixDeveloperReport-2

AcunetixDeveloperReport-3

 

 更多詳細的資訊安全方案,如WAF防火牆、獨立主機、SSL…等,歡迎與天矽科技聯繫!

回上一頁
信箱
客服
Line@