資安服務 Website Security
為什麼網站需要資訊安全機制?
網站只要有重要資料都應該立即提昇網站安全等級,尤其是以網站做生意的網站,像是購物網站、服務網站…,沒有資訊安全的網站就像是一個沒有保全的大樓,隨時都可能會被入侵、攻擊,一旦網站被入侵或攻擊,資料外洩造成的企業商譽與損失是無法估計的,詐騙、攻擊、威脅…只會層出不窮,資安工作絕對是預防勝於治療,千萬不要輕忽資安對於網站的重要性。
網站資安防護有哪些?
常用的網站防護除了基本防火牆以外,最常用的防護有「網站應用防火牆(WAF)」、「網站弱點掃描」、「網站程式弱點掃描」,網站弱點掃描、程式掃描都是定期檢查,而網站應用防火牆就是一個即時監控服務。
WAF可即時監控攻擊行為
網站弱點掃描可找出網站漏洞
程式掃描可以找出網站程式漏洞
網站應用防火牆
WAF採用先進的比對技術,搭載豐富的特徵資料庫, 無論網站是放在虛擬主機、實體主機、雲端架構,都可以安裝WAF。面對不斷變化的威脅,也能給予全面防護,WAF可以即時監控攻擊,自動更新資料庫,讓網站擁有最新防護,預防網站被入侵、攻擊。
調教WAF設定 網站防護更完整
自動化檢測與分析工具,有效完整精確地協助開發人員找出程式碼中的弱點避免相同弱點再度發生在其他程式碼。
合乎OWASP規範隨時更新
OWASP致力改善網站安全性,定時針對網頁應用程式公布,隨時升級資料庫,以因應新型態攻擊發生
防護報告清楚一目了然
可以定時(日/週/月)寄發防禦報告。報告清楚顯示程式漏洞的危險程度,客戶可明白網站修改的優先順序
工程師們即刻學習新知
每當有新的攻擊手法發生,網站工程師就會重新檢視WAF設定,確保客戶網站保持安全,不會被駭客入侵式碼。
量身客製WAF安全設定
OWASP 致力改善網站安全性,定時針對網頁應用程式公布規則,即時升級資料庫,以因應防禦新型態攻擊
網站弱點掃描
利用網站自動化弱點掃描工具,掃描網站看不見的安全弱點,包含:程式設計、主機漏洞、網站結構、網站設定、程式設計,進行由外掃描網站,模擬駭客入侵與攻擊方式進行測試,掃描後有完整的分析報告,可以作為網站安全修正的依據,根據最新OWASP組織提出之10大安全漏洞,進行掃描軟體的更新及升級。
完成掃描 提出建議
完成網站弱點掃描之後,由專業工程師針對報告指出的漏洞提出修改建議, 讓客戶確實明白如何修正網站
跨網站指令碼入侵
駭客可藉由此漏洞將惡意程式碼放置在網頁中,使用者觀看網頁時,盜取使用者資訊,並進階攻擊其他網站或是濫發垃圾信。
HTML 跨網站請求偽造攻擊
駭客在使用者不知情之下,藉由使用者的使用行為攻擊網站。如果駭客最終的目標是管理權限,將可能危害整個網站安全碼。
網站程式原始碼曝漏
駭客可以不需要經過驗證直接讀取原始碼,並藉此得到使用者隱私資訊,甚至可以攻擊原始碼漏洞,進一步癱瘓網站
網頁錯誤訊息入侵
出現此錯誤訊息表示網站可能會洩露網站使用者隱私資訊,並且被用於引發進一步的攻擊,例如竊取管理者權限/盜用個資/盜用個資
使用者資料未經加密傳輸
駭客可以透過攔截未加密的HTTP連線,從中竊取使用者傳輸的資料內容
網站程式碼路徑挖掘
出現此錯誤訊息表示網站可能會洩露網站使用者隱私資訊,並洩漏資料庫的所在路徑,等同資料庫不設防。
程式弱點掃描
網站程式則是針對網站程式進行檢測,根據安全規範,包括:OWASP、HIPPAA、PCI DSS、DISA STIG、NIST 800-53、ISO 27K,掃描後會有完整掃描報告,作為網站修正程式的參考。
網站程式原始碼檢測
自動化檢測與分析工具,有效完整精確地協助開發人員找出程式碼弱點,避免相同弱點再度發生在其他程式碼。
報告指出漏洞位置
產出檢測報告詳細地指出漏洞或弱點詳情,找出安全漏洞的根本原因以及所對應的程式碼行數位置。
提供程式修正建議
提供程式修復範例或修改建議,提供進行相對應的網站漏洞修補工作。
降低企業維運成本
協助企業即時的找出漏洞、網站弱點,降低因漏洞傷害而產生的成本,避免公司商譽受損。
