SERVICE

企業級
資安防護
顧問團隊

天矽科技承諾網站資訊安全政策,以指標性機構 OWASP Top 10 為基礎的防護內容,並透過 Acunetix 弱點掃描 交付檢測報告;針對 嚴重風險/高風險 進行排除與複掃驗證,為您的網站把關。

立即諮詢
user
user
user
user
+500
30+
天矽科技成立於1996年
3000+
已結案客戶數

為何網站需要做資安檢測

隨著《資通安全管理法》正式實施,政府與各企業對網站資安要求持續提升。以下三點以「可稽核、可驗證、可交付」的角度說明定期資安檢測的必要性,供決策與稽核參考。

以 OWASP Top 10 作為可稽核的弱點基準

網站資安不是「感覺很安全」,而是需要能被稽核理解的判準。以 OWASP Top 10 作為弱點基準,讓檢測、修補與報告具備一致的風險分類與溝通語言,方便內外部查核採信。

優先處理嚴重/高風險,降低被利用的機率

多數資安事件的關鍵在於「高風險弱點被快速利用」。透過弱點掃描、滲透測試或源碼檢測,先針對嚴重風險與高風險進行排除,能有效降低入侵、資料外洩與營運中斷等重大損失。

複掃驗證:用流程確保修補真的有效

資安工作需要可驗證的閉環流程。我們採用「初掃 → 風險排除 → 第二次複掃」的方式確認修補成效,讓上線前的風險狀態有依據、可追溯、可交付。

依循國際高資安標準與開發規範

以國際基準、法規脈絡與指定工具版本執行,確保檢測結果可追溯、可驗證、可交付,並能被稽核與客戶查核採信。

CORE MODULES | 企業資安服務

高資安解決方案:核心服務項目

網站弱點掃描(Acunetix)滲透測試源碼檢測(Fortify),並可加購 WAF/DDoS/備援/CDN/7×24 監控與代管,天矽科技提供可落地、可驗證、可交付的企業網站資安方案。

天矽科技 企業級程式客製開發
600+ 企業長期客戶
累計服務案件
SINCE 1996
01

網站弱點掃描(Acunetix)

以 OWASP Top 10 為基準進行弱點掃描,交付檢測報告;針對嚴重/高風險排除後,提供複掃驗證流程。

02

網站滲透測試:模擬駭客思維的黑箱攻防實測

透過遠端連線執行「黑箱測試」,模擬真實駭客的攻擊路徑與思維,對網站進行全方位壓力測試。從實戰角度深度檢驗系統防禦漏洞,並產出精準的風險評估與修補策略。

03

網站源碼檢測(Fortify)

需提供原始碼,遠端執行白箱檢測;包含一次正測與一次複測,交付 Fortify 檢測結果報告。

04

高資安WAF主機/備份代管/CDN流量加購

備份機制、7×24 監控、主機防護、WAF、DDoS、CDN、緊急備援等模組化加購,依需求組合提升營運韌性。

執行細節與交付內容
版本可追溯、範圍清楚、複掃可驗證

提供工具版本、檢測項目、排除範圍、複掃驗證與承諾邊界,讓風險控管可量化,並能被稽核理解與查核採信。

網站弱點掃描(Acunetix)

基本版採用 Acunetix 13.0;高階版可指定 Acunetix 最新版本。交付對應版本的資安檢測報告,並以「初掃 → 風險排除 → 第二次複掃」驗證修補成效。

  • Acunetix 13.0 / 最新
  • 交付檢測報告
  • 排除嚴重/高風險
  • 複掃驗證
  • 例外範圍清楚
工具版本
  • 基本版:Acunetix 13.0
  • 高階版:可指定最新版本
交付物
Acunetix(指定版本)資安檢測報告
排除範圍
處理資安報告中的嚴重風險、高風險
驗證方式
初掃 → 排除 → 第二次複掃
不包含
  • 主機系統弱點(例:TLS 1.0、Apache 版本、弱加密套件等)
  • 第三方套件中/低風險預設不排除(需評估另計)
掃描項目(展開查看)
  • XSS(跨網站指令碼攻擊)
  • SQL Injection(SQL 程式碼注入攻擊)
  • 程式碼執行攻擊
  • 目錄遊走(Path Traversal)
  • 檔案引入攻擊弱點
  • 網站程式原始碼暴露
  • CRLF Injection 注入攻擊
  • 跨頁框指令碼攻擊
  • 自動查詢備份檔或目錄
  • 自動搜尋具有敏感性資料的檔案或目錄
  • 自動搜尋一般檔案(記錄檔、應用程式追蹤、CVS 網站容器等)
  • 自動搜尋可用的網站伺服器技術
  • 搜尋弱點權限目錄(可新建/編輯/刪除檔案之目錄)
流程範例
  • 初掃:產生 1 個高風險、17 個中風險、4 個低風險
  • 排除後第二次複掃:產生 0 個高風險、0 個中風險、5 個低風險
  • 網站正式上線
天矽承諾
  • 弱點掃描僅針對網站上線當日,使用指定版本 Acunetix 掃描產生的嚴重風險、高風險等級之弱點進行修正與排除
  • 上線後因攻擊技術演進或使用其他掃描工具(非指定版本 Acunetix)所產生的新風險,需評估可行性並依需要排除的項目另計價

網站滲透測試(依需求)

依需求採用指定廠商之資安滲透測試服務,涵蓋系統、環境與設備面向。模擬駭客思維進行實戰攻防演練,並提供深度風險評估與修補建議,協助企業通過內外部資安稽核。

  • OSSTMM / OWASP 標準
  • 系統/環境/設備全方位檢測
  • 專業滲透測試報告書
  • 嚴重/高風險優先排除
  • 複測驗證機制
測試標準
  • OSSTMM 3.0 開放原始碼安全測試方法指南
  • OWASP Web 安全測試指南 (WSTG 4.2)
交付物
專業滲透測試報告書(含風險等級評估與修補建議)
排除原則
  • 優先處理報告中之「嚴重風險」與「高風險」
  • 軟體邏輯問題:由天矽科技協助優化處理
  • 硬體/環境問題:由客戶端硬體/系統商排除
驗證方式
初次測試 → 漏洞修補 → 第二次複測(驗證修補成效)
不包含
  • 非受測範圍內之第三方外部服務 API
  • 社交工程攻擊(郵件/簡訊誘騙等)
  • 第三方套件中/低風險預設不排除(需評估另計)
核心檢測項目(展開查看)

技術探勘: 網路探勘、主機服務鑑別、系統版本修補等級辨識。

  • JavaScript 指令碼執行測試
  • DOM 式跨站腳本程式測試
  • 伺服器端模板 (SSTI) 注入測試
  • SQL 指令注入測試 (SQL Injection)
  • 跨站腳本程式測試 (XSS - 儲存式/反射式/DOM)
  • SSL/TLS 加密傳輸協定檢測
  • 連線狀態固定與連線劫持測試 (Session Hijacking)
  • 跨站偽造網頁要求測試 (CSRF)
  • 伺服器端請求偽造測試 (SSRF)
  • 加密通道傳輸驗證資訊
  • 記住密碼測試
  • 連線狀態過期測試
  • 目錄或文件存取權限設定
  • 路徑遍歷與不安全物件參考 (IDOR)
  • 商業邏輯流程規避測試
  • 惡意文件上傳與檔案類型驗證
  • 點擊劫持與網頁重導向測試
  • 錯誤代碼與呼叫堆疊資訊分析
  • 商業邏輯資料驗證測試
  • 惡意文件上傳測試
流程範例

※ 滲透測試通常於網站正式上線後,針對正式網址進行實測。

  • 初測: 產生 2 個嚴重風險、3 個高風險、2 個低風險
  • 修補與複測: 針對嚴重/高風險排除後,複測結果為 0 個嚴重、0 個高風險、1 個中風險
  • 結案: 交付最終複測報告,確保網站防禦強度達標
天矽承諾
  • 根據專業滲透測試報告,天矽承諾針對軟體邏輯層面之「嚴重風險」與「高風險」項目進行排除,確保報告顯示為 0 檢出。
  • 上線後因攻擊技術演進(如 Zero-day 漏洞)或使用其他非議定工具所產生的新風險,需評估可行性並另計費用。
  • 若屬第三方套件(如編輯器、前端框架)本身之架構漏洞,天矽將提供升級建議或緩解方案,實際排除工作需視套件更新狀況另議。

網站源碼檢測(Fortify)

採用全球知名 Fortify SCA 靜態源碼掃描工具,內建超過 1,000 種弱點類別掃描規則。透過對原始碼的深度靜態分析,產出符合 OWASP、CWE、PCI DSS 等國際資安標準之專業報告,從開發底層根除安全隱患。

  • Fortify SCA 專業靜態分析
  • 符合 OWASP / CWE 國際標準
  • 1,000+ 種弱點掃描規則
  • 嚴重/高風險 0 檢出承諾
  • 一次正測 + 一次複測驗證
工具版本
Fortify SCA Engine Version:25.4.0.0135
執行方式
遠端執行,需提供原始碼進行靜態檢測(以一個網站為單位)
交付物
Fortify 官方產出之檢測結果報告共兩份(初掃與複掃)
排除原則
  • 天矽科技協助處理報告中之「嚴重風險」與「高風險」
  • 第三方套件中/低風險預設不排除(如需排除需評估另計)
核心安全性檢測項目(白箱掃描重點)

技術特性: 針對代碼邏輯進行全方位審計,涵蓋以下關鍵安全領域:

  • Cookie 安全性: SSL 加密傳輸、HTTPOnly 設置、持久性會話檢測。
  • 跨站請求偽造 (CSRF): 防止攻擊者偽造使用者權限操作。
  • 傳輸安全 (Insecure Transport): 檢測敏感資料加密與外部連結安全。
  • 檔案上傳風險 (File Upload): 防止惡意檔案導致伺服器劫持。
  • 系統資訊外洩: 避免伺服器或開發環境資訊暴露。
  • 弱加密演算法: 檢查過時或易破解的雜湊(Hash)演算法。
  • 標頭/路徑操控: 防止 Header Injection、點擊劫持與惡意跳轉。
  • OWASP Top 10 兼容: 針對國際公認十大最嚴重漏洞進行代碼級掃描。
流程範例
  • 初掃(正測): 產生 88 個嚴重風險、33 個高風險、2 個低風險
  • 排除與修正: 天矽技術團隊針對原始碼弱點進行優化排除
  • 複掃驗證: 第二次複掃結果為 嚴重風險 0、高風險 0、中風險 1
  • 結案: 交付專業源碼檢測報告書
天矽承諾
  • 根據專業源碼檢測報告,天矽承諾將軟體程式之「嚴重風險」與「高風險」排除為 0。
  • 上線後因攻擊技術演進(如 Zero-day 漏洞)或使用其他掃描工具,以及若因第三方套件(如編輯器、前端框架)所產生的新風險,需評估可行性並依需要排除的項目另行計價。

備份機制與主機代管(限代管/依需求)

針對商務型網站「不能停、不能掉資料」的需求,提供備份機制(限天矽主機代管)與可加購的主機安全防護/維運服務,提升持續營運與災害復原能力。

  • 每日備份
  • 每週離線備份
  • 7×24 監控(加購)
  • 備援/災復(加購)
適用條件
備份機制限天矽主機代管;其餘加購依需求報價
交付內容
備份流程+(可選)監控/防護/備援模組
備份機制(限主機代管)
  • 網站資料每天透過 FTP 載份到天矽內部 NAS
  • 網站 DB 每天透過 Navicat 備份到天矽內部 NAS
  • 每週五 NAS 資料 Job 排程備份到 USB 硬碟
可加購:主機防護/代管/備援(展開查看)
  • 主機安全防護系統:7×24 高階防火牆防護、特定埠號關閉、來源 IP 黑名單設定
  • 主機伺服器系統代管:7×24 健康狀態監控、定時掃描、網管人員主機重啟、安裝/調校/維運
  • 緊急備援主機 & 外部測試機:1:1 備援環境,事故時 DNS 對應後可快速切換;平時可作測試機

資安服務實例應用

依需求模組化加購:WAF、主機防護、DDoS、CDN、緊急備援與代管備份等,讓資安不只停留在報告,而能落地成為長期防護與持續營運能力。

弱掃

  • 指標性客戶信賴 曾服務大型企業、醫療體系及政府機構,包括三菱電機自動化、澄清綜合醫院、衛生福利部藥害救濟基金會及國立臺灣大學推廣教育中心等單位。各項系統均依資安規範建置並通過網站弱點掃描,符合政府與高敏感資料系統之資訊安全要求。
  • 零漏洞交付紀錄 嚴格執行弱掃項目排除風險,歷來專案均達成滲透測試「嚴重」與「高風險」項目 0 檢出之結案標準,展現卓越的網站開發與資安修補技術。
弱掃報告 1 弱掃報告 2 弱掃報告 3 弱掃報告 4

滲透

  • 指標性客戶信賴 具備服務大型跨國企業(如三菱)與醫療體系(如澄清醫院)之實績,系統架構符合高敏感資訊保護標準。
  • 零漏洞交付紀錄 嚴格執行「安全開發生命週期 (SDL)」,歷來專案均達成滲透測試「嚴重」與「高風險」項目 0 檢出之結案標準,展現卓越的網站開發與資安修補技術。
滲透 1 滲透 2 滲透 3 滲透 4
供應鏈漏洞監控
新漏洞發現
Global Discovery
即時衝擊評估
Impact Analysis
防禦策略部署
Patch Deployment
產業驗證
製造產業
醫療體系
政府機關
跨國企業

源碼

  • 指標性客戶信賴 服務實績涵蓋高科技製造龍頭英業達汽車業龍頭和運租車,以嚴謹的源碼檢測技術,打造符合國際安全標準的高敏感資訊保護架構。
  • 零漏洞交付紀錄 針對源碼檢測等專業 SAST 工具識別之安全弱點,我們具備深厚的結構性重構與邏輯修補能力。不僅能精確過濾誤判(False Positives),更能針對 CWEOWASP Top 10 所列之結構性風險進行根源性治理,確保網站排除「嚴重」與「高風險」之項目
源碼 1 源碼 2 源碼檢測(OWASP規範) 源碼檢測 源碼檢測-風險說明 源碼檢測

WAF高資安主機/CDN加速服務

  • WAF高資安主機 此高資安主機透過嚴密的 WAF 網路應用程式防火牆,全面攔截 SQL 注入、跨網站指令碼(XSS)及遠端命令執行等應用層攻擊。同時結合異常行為偵測技術,有效阻斷阻斷服務攻擊(DoS)、會話劫持與各類惡意爬蟲或蠕蟲的威脅。
  • CDN防護 CDN(內容傳遞網路)服務可透過全球節點加速網站內容傳輸,提升網站載入速度並降低主機負載。同時提供 Anti-DDoS 防護與 7×24 小時監控機制,確保網站安全、穩定且高效運作
WAF高資安主機 CDN防護 CDN分析報告 CDN分析報告 2
Technical Specification

主動資安防護 vs 被動補救

為什麼有資安意識的企業,會選擇事前預防與長期治理,而不是事件發生後才補破洞?

OWASP Top 10 弱點基準
資安法 B 級與 ISO 27001 合規
工具與版本可追溯
天矽客製化
Acunetix 13.0/指定最新版本與 Fortify 指定最新版本,工具與版本清楚,結果可重現、可查核。
一般套裝
未明確指定工具/版本,檢測結果難以重現與稽核,交付品質不易一致。
排除範圍清楚
天矽客製化
明確處理嚴重/高風險,並清楚列出第三方套件與主機系統弱點等例外/不包含事項,避免期待落差。
一般套裝
修補邊界不清,交付後容易產生責任與期待落差,影響後續維運與合約管理。
複掃驗證
天矽客製化
採用「初掃 → 風險排除 → 第二次複掃」驗證修補成效,提供可量化的結果與交付紀錄。
一般套裝
缺少複驗機制,修補品質難以量化,容易留下可被再次利用的弱點。
營運韌性與加購模組
天矽客製化
可依需求加購 WAF、DDoS、防毒/入侵防護、備份、緊急備援、CDN 與 7×24 監控/代管,提升持續營運能力。
一般套裝
僅做一次性檢測,缺乏長期防護、災復與持續營運規劃,風險易回升。

成果證明:報告交付與複掃驗證

以可交付、可驗證的成果作為證明:Acunetix 與 Fortify 的檢測報告、嚴重/高風險排除後的複掃結果,以及可加購的長期防護與持續營運模組。

網站弱點掃描示範案例-英業達集團
Acunetix │ 英業達集團

網站弱點掃描—嚴重/高風險排除與複掃驗證

#弱點掃描 #複掃驗證
網站弱點掃描示範案例-澄清綜合醫院
Acunetix │ 澄清綜合醫院

網站弱點掃描—嚴重/高風險排除與複掃驗證

#弱點掃描 #複掃驗證
網站滲透測試示範案例-台灣三菱電機自動化
PenTest │ 台灣三菱電機自動化

滲透測試—認證/存取控制/商業邏輯漏洞診斷

#滲透測試 #風險評估
網站滲透測試示範案例-澄清綜合醫院
PenTest │ 澄清綜合醫院

滲透測試—認證/存取控制/商業邏輯漏洞診斷

#滲透測試 #複風險評估
網站源碼檢測掃描示範案例-和運租車
Checkmarx │ 和運租車

網站源碼檢測掃描—專業資安團隊排除風險漏洞

#源碼檢測 #漏洞掃描 #風險評估
網站源碼檢測掃描示範案例-英業達集團
Checkmarx │ 英業達集團

網站源碼檢測掃描—專業資安團隊排除風險漏洞

#源碼檢測 #漏洞掃描 #風險評估
長期防護與持續營運示範案例-台灣三菱電機自動化
Add-ons │ 台灣三菱電機自動化

長期防護模組—WAF / DDoS / CDN / 備援 / 7×24 監控與代管

#WAF #DDoS #備援與代管

常見問題:如何確保您的網站符合資安規範?

準備進行網站資安盤點或面臨稽核需求?我們針對 弱點掃描、滲透測試與系統修補等核心流程,整理出最常被詢問的技術細節與執行建議。內容同步導入 Schema 結構化標記,確保您的資安需求能獲得最精準的技術對接。

網站弱點掃描跟滲透測試有什麼不同?

弱點掃描主要以 Acunetix 等工具、對照 OWASP Top 10 等基準,快速盤點已知樣態弱點並產出可追蹤的檢測報告,適合例行檢視與上線前盤點。滲透測試則以黑箱、接近實戰的方式模擬攻擊路徑與情境,補足「工具報得到但需人工驗證與鏈結」的缺口,例如認證、授權與商業邏輯。兩者互補:多數企業會以弱掃做廣度與回歸,與滲透測試互補,建立從廣度到深度的防禦線。

天矽提供的資安報告可以用於 ISO 27001 稽核嗎?

ISO 27001 驗證的是整體 ISMS 與適用之控制措施,單一份檢測報告並不代表「通過 ISO」,但可作為技術面佐證,例如對外服務之弱點盤點、測試紀錄、嚴重/高風險處置與複掃驗證等,常見於稽核時說明技術控制是否有效之證據輔助。報告可作為稽核或驗證時之技術佐證文件,實際採認仍依貴司適用之驗證機構與稽核範圍而定。Acunetix 與 Fortify 等交付物具工具版本與結果可追溯性,有助查核採信。

執行資安檢測時,網站需要停機嗎?

多數情況無需全面停機;弱點掃描與滲透測試通常可在服務線上執行,依測試策略與流量、負載調整。仍建議事前約定測試窗口、是否允許特定強度請求,以及正式環境與準生產環境之差異,必要時搭配公告或監控告警聯動。以事先約定範圍與時段為原則,可將對營運影響控制在可預期範圍;細節依個案而定,歡迎洽詢。

如果檢測出嚴重漏洞,你們會協助修補嗎?

本服務包含針對嚴重與高風險項目排除後之複掃驗證流程。除報告與復測外,天矽具網站與系統開發、維運背景,可銜接程式碼修正與伺服器設定調整,較能縮短「找得到洞但修不動」的空窗期。實際修補範圍與時程依漏洞類型、系統權限與合約約定而定,建議邀請既有開發或維運窗口一同對齊排程。

ID:@323foylw