(中央社訊息服務20231013 17:40:59)過去幾年,全球各地不時傳出知名網站遭到駭客入侵的案例,不僅導致眾多商業機密、個資被竊取,甚至有部分消費者在瀏覽網站時被植入木馬程式。深入分析箇中原因,首先是開發人員沒有足夠資安知識,導致網站設計過程中有眾多漏洞,以至於存在被入侵的風險。其次,維運團隊沒有定時更新應用軟體的修補程式,讓駭客乘機透過漏洞的利用取得網站上的重要資料,如早期的SQL injection,以及近幾年的JSON injection等。 為提升網站的整體安全,現今不少企業都會要求資安團隊或與外部協力廠商合作,透過規律安排執行弱點掃描、 滲透測試等專案,預先修復網站潛在問題,避免成為駭客鎖定的攻擊目標。只是多數企業都有資安人力不足的問題,並不一定有能力自行執行,而委由外部協力廠商執行成本相對較高,也必須事先排定執行時間。相較之下,財團法人電信技術中心的自助式深度弱點掃描服務,主打讓企業能透過自助式方式執行,加上掃描範圍非常廣泛、深入,分析報告中也會提供改善建議,堪稱是提升網站安全的最佳選擇。
國立成功大學資訊工程學系副教授李信杰指出,企業要改善網站安全等級,必須透過弱點掃描、滲透測試等相互搭配。弱點掃描是利用特定工具和軟體,透過自動化機制掃描系統、應用程式、網路等,尋找各種已知的漏洞、弱點和配置錯誤,基本上不涉及實際的攻擊。至於滲透測試則是模擬攻擊者的行為,測試人員會嘗試利用已知的和未知的漏洞, 以手動測試方式進行實際攻擊,探測系統中各種潛在弱點,以確定系統是否能阻止或應對時下常見的攻擊手法。
自動化執行深度弱點掃描 降低人員維運負擔 財團法人電信技術中心的自助式深度弱點掃描服務,是以開源弱點掃描工具-ZAP (OWASP Zed Attack Proxy),搭配開源網站腳本錄製器-Rapi Recorder, 達到加速測試案例生成,自動化執行深度弱點檢測的目的,廠商如有額外需求亦可搭配已錄製腳本使用付費的商用工具進行檢測。 而在全球市場深受好評的 Rapi Recorder開源網站腳本錄製器,是採用Selenium IDE V3為核心進行優化,財團法人電信技術中心採用的Rapi Recorder,具備全自動、高準確、高效率的特性,不僅無需撰寫程式碼,還能快速自動產生測試案例,讓企業可輕鬆執行回歸測試與跨瀏覽器測試。這套腳本錄製工具可輕鬆與準確地錄製出網頁瀏覽行為,如複雜的滑鼠移動與鍵盤輸入,大幅降低人工編輯指令工作的時間。尤其產品採用高效率 Auto-Wait 技術,測試案例播放速度不僅快速,更具備自動調節能力,能免去手動新增等待指令的困擾。 值得一提,財團法人電信技術中心的自助式深度弱點掃描服務,同時涵蓋Spider Mode、Proxy Mode兩種模式,可提供更深度網頁弱點掃描效果,協助企業達成提升網站安全的目的。