弱點掃描服務
Vulnerability Assessment
針對Web主機或電腦系統進行安全弱點掃描,可評估掃描標的物是否存在安全弱點,同時提供給客戶相關掃描結果,作為主機資訊安全的管理依據,並協助弱點修補方法之參考建議,待修正弱點後提供複掃,以確認弱點已經排除。
-
產品特色1、掃描內容:弱點掃描分為 系統弱點掃描 與 網站弱點掃描。
(1)系統弱點掃描
針對作業系統的弱點、網路服務的弱點、作業系統或網路服務的設定、帳號密碼設定及管理方式等進行弱點檢測,系統弱點掃描的檢測項目,須符合Common Vulnerabilities and Exposures (CVE)發布的弱點內容(最新版),至少包含以下項目:
A、作業系統未修正的漏洞掃描
B、常用應用程式漏洞掃描
C、網路服務程式掃描
D、木馬、後門程式掃描
E、帳號密碼破解測試
F、系統之不安全與錯誤設定檢測
G、網路通訊埠掃描
(2)網站弱點掃描
針對機關對外主機網頁安全弱點進行掃描,檢測項目須符合OWASP TOP 10 2017項目:
A、A1-Injection
B、A2-Broken Authentication
C、A3- Sensitive Data Exposure
D、A4- XML External Entities (XXE)
E、A5- Broken Access Control
F、A6- Security Misconfiguration
G、A7- Cross-Site Scripting (XSS)
H、A8- Insecure Deserialization
I、A9-Using Components with Known Vulnerabilities
J、A10- Insufficient Logging&Monitoring
2、掃描方式
掃描工具需取得授權使用的商用軟體,於非公務時段或與機關協調取得適當時間進行掃描作業。
3、分析報告
掃描作業後1個月內,根據掃描結果,將所發現之弱點與過程詳細記錄,並對結果進行分析,提出相關建議與掃描報告,以提供作為弱點修補之參考。
