资安服务 Website Security
为什么网站需要资讯安全机制?
网站只要有重要资料都应该立即提升网站安全等级,尤其是以网站做生意的网站,像是购物网站、服务网站…,没有资讯安全的网站就像是一个没有保全的大楼,随时都可能会被入侵、攻击,一旦网站被入侵或攻击,资料外泄造成的企业商誉与损失是无法估计的,诈骗、攻击、威胁…只会层出不穷,资安工作绝对是预防胜于治疗,千万不要轻忽资安对于网站的重要性。
网站资安防护有哪些?
常用的网站防护除了基本防火墙以外,最常用的防护有「网站应用防火墙(WAF)」、「网站弱点扫描」、「网站程式弱点扫描」,网站弱点扫描、程式扫描都是定期检查,而网站应用防火墙就是一个即时监控服务。
WAF可即时监控攻击行为
网站弱点扫描可找出网站漏洞
程式扫描可以找出网站程式漏洞
网站应用防火墙
WAF采用先进的比对技术,搭载丰富的特征资料库, 无论网站是放在虚拟主机、实体主机、云端架构,都可以安装WAF。面对不断变化的威胁,也能给予全面防护,WAF可以即时监控攻击,自动更新资料库,让网站拥有最新防护,预防网站被入侵、攻击。
调教 WAF设定 网站防护屹立不摇
自动化检测与分析工具,有效完整精确地协助开发人员找出程式码中的弱点避免相同弱点再度发生在其他程式码。
合乎OWASP规范随时更新
OWASP致力改善网站安全性,定时针对网页应用程式公布,随时升级资料库,以因应新型态攻击发生
防护报告清楚一目了然
可以定时(日/周/月)寄发防御报告。报告清楚显示程式漏洞的危险程度,客户可明白网站修改的优先顺序
工程师们即刻学习新知
每当有新的攻击手法发生,网站工程师就会重新检视WAF设定,确保客户网站保持安全,不会被骇客入侵式码。
量身客制WAF安全设定
OWASP 致力改善网站安全性,定时针对网页应用程式公布规则,即时升级资料库,以因应防御新型态攻击
网站弱点扫描
利用网站自动化弱点扫描工具,扫描网站看不见的安全弱点,包含:程式设计、主机漏洞、网站结构、网站设定、程式设计,进行由外扫描网站,模拟骇客入侵与攻击方式进行测试,扫描后有完整的分析报告,可以作为网站安全修正的依据,根据最新OWASP组织提出之10大安全漏洞,进行扫描软体的更新及升级。
完成扫描 提出建议
完成网站弱点扫描之后,由专业工程师针对报告指出的漏洞提出修改建议, 让客户确实明白如何修正网站
跨网站指令码入侵
骇客可藉由此漏洞将恶意程式码放置在网页中,使用者观看网页时,盗取使用者资讯,并进阶攻击其他网站或是滥发垃圾信。
HTML 跨网站请求伪造攻击
骇客在使用者不知情之下,藉由使用者的使用行为攻击网站。如果骇客最终的目标是管理权限,将可能危害整个网站安全码。
网站程式原始码曝漏
骇客可以不需要经过验证直接读取原始码,并借此得到使用者隐私资讯,甚至可以攻击原始码漏洞,进一步瘫痪网站
网页错误讯息入侵
出现此错误讯息表示网站可能会泄露网站使用者隐私资讯,并且被用于引发进一步的攻击,例如窃取管理者权限/盗用个资/盗用个资
使用者资料未经加密传输
骇客可以透过拦截未加密的HTTP连线,从中窃取使用者传输的资料内容
网站程式码路径挖掘
出现此错误讯息表示网站可能会泄露网站使用者隐私资讯,并泄漏资料库的所在路径,等同资料库不设防。
程式弱点扫描
网站程式则是针对网站程式进行检测,根据安全规范,包括:OWASP、HIPPAA、PCI DSS、DISA STIG、NIST 800-53、ISO 27K,扫描后会有完整扫描报告,作为网站修正程式的参考。
网站程式原始码检测
自动化检测与分析工具,有效完整精确地协助开发人员找出程式码弱点,避免相同弱点再度发生在其他程式码。
报告指出漏洞位置
产出检测报告详细地指出漏洞或弱点详情,找出安全漏洞的根本原因以及所对应的程式码行数位置。
提供程式修正建议
提供程式修复范例或修改建议,提供进行相对应的网站漏洞修补工作。
降低企业维运成本
协助企业即时的找出漏洞、网站弱点,降低因漏洞伤害而产生的成本,避免公司商誉受损。
