(1)系統弱點掃描
針對作業系統的弱點、網路服務的弱點、作業系統或網路服務的設定、帳號密碼設定及管理方式等進行弱點檢測,系統弱點掃描的檢測項目,須符合Common Vulnerabilities and Exposures (CVE)發布的弱點內容(最新版),至少包含以下項目:A、作業系統未修正的漏洞掃描B、常用應用程式漏洞掃描C、網路服務程式掃描D、木馬、後門程式掃描E、帳號密碼破解測試F、系統之不安全與錯誤設定檢測G、網路通訊埠掃描
(2)網站弱點掃描
針對機關對外主機網頁安全弱點進行掃描,檢測項目須符合OWASP TOP 10 2017項目:A、A1-InjectionB、A2-Broken AuthenticationC、A3- Sensitive Data ExposureD、A4- XML External Entities (XXE)E、A5- Broken Access ControlF、A6- Security MisconfigurationG、A7- Cross-Site Scripting (XSS)H、A8- Insecure DeserializationI、A9-Using Components with Known VulnerabilitiesJ、A10- Insufficient Logging&Monitoring
掃描工具需取得授權使用的商用軟體,於非公務時段或與機關協調取得適當時間進行掃描作業。
掃描作業後1個月內,根據掃描結果,將所發現之弱點與過程詳細記錄,並對結果進行分析,提出相關建議與掃描報告,以提供作為弱點修補之參考。