弱扫是什么? 关于弱扫的五个小知识
时间:2024-05-13 11:30:01 | 来源:建站知识
时间:2024-05-13 11:30:01 来源:建站知识
「XXX近日遭黑客攻击,造成数万个人信息流出,目前正......」
身为金融从业人员、购物网站主、政府机关人员,这样的标题是不是让你胆战心惊呢? 今天要讨论的主题就是在网站上线前,能让您防患胜于未然的「网站弱扫」。
前言 — 弱扫是什么?
弱扫其实是「弱点扫描 Vulnerability Assessment」的缩写,概念就像是给网站打的疫苗。
利用工具,侦测网站的弱点,再将网站的各个角落进行风险级别分类,进而通过修缮这些弱点,加强网站的保护屏障。
在了解弱扫是什么之后,我们相信你心中还是有一些疑惑,为了解答这些疑惑,接下来的文章,将会以一边补充背景知识,一边整理问题的方式呈现:
知识一、弱扫的进行步骤
以浪知潮为例,假如委托浪知潮进行弱扫,会经历以下五个步骤:
1.远程弱扫开始
通常网络公司人员会使用远程工具,不必到客户身边,也能透过IT设定开始弱扫,弱扫的进行通常会维持一天左右。
这时候,许多客户会有疑惑:
Q1:这一天的弱扫,会影响用户吗?
答案是99%不会。
弱扫工具有很多种,有些工具会主动攻击网站,测试网站承受度,但不会把网站攻击到无法正常运作的程度,有些则是会使得网站新增许多“脏”信息,基本上,以上状况都不影响网站的使用。
2.弱扫结束,产出报告
报告分成两个,第一个报告的内容为此网站中低、中、高风险存在位置分析,由弱扫工具提供。 第二份则是由网络公司整理第一份报告内容,加上相对应的解法与报价组成,这一份才是客户真正会看到的报告。
Q2:客户不能直接看第一份报告吗?
其实可以。
但就如同去医院照X光,照片出来了,但是没有专业人员解说,一般人可能很难理解身体究竟出了什么问题,更别说是治疗了。
3.针对报告中要修复的内容双方进行协商、报价
若您在收到报告后,对解法或报价有疑惑、感到不满意,例如,想要将该高风险项目在更进步变得更稳固,或某些地方暂时不用修,都可以在此阶段提出,与网络公司协商、议价。
4.协商完成,开始修网站
协商完成,网络公司在收到回签的报价单后,即会开始安排工程师进行维修。
5.修完再扫,产出修正说明报告
维修完成后,会再进行一次弱扫,确认此次维修部分已完成,再出具此次修正说明报告供客户留存。
知识二、弱扫的频率
这个频率没有固定答案,但是会造成影响的因素有以下两点:
1.依据法规
依据资通安全管理法及子法规定,公务机关与特定非公务机关的资通安全责任层级从A至E共分为五级,依据层级,弱扫需一至两年进行乙次,配合其他资安相关措施,详情可以点这边看法规。
2.该公司对资安的重视程度
以浪知潮经验而言,一般情况下,一个网站最少一年应进行一次弱扫,每年更新屏障,避免新型态黑客。 我们也有遇过非常重视资安的客户,要求必须每月或甚至每周进行弱扫。
知识三、弱扫与中病毒的关系
再以疫苗举例一次,打完疫苗之后仍有染疫风险,弱扫仅能帮助你「加强防御,降低风险」,但仍无法完全避免黑客的恶意攻击。
Q3:既然弱扫无法完全避免攻击,有什么更有效的方式吗?
还有一种安全测试方式,常常跟弱扫一起被提起——「渗透测试」。
相较半自动的弱点扫描,渗透测试的操作方式更为人工、复杂,以真人操作模拟黑客思维来攻击网站,更直接、有效率的抓出网站的弱点,但因为人工运行,无法大规模操作,较耗时也耗人力。
知识四、常用的弱扫工具
浪知潮最常使用的弱扫工具是「OWASP ZAP」。
OWASP是「Open Web Application Security Project」的缩写,白话文就是开放网络软件安全计画,由Mark Curphey 2001年于美国创立,是为在网络安全领域,替大众提供免费的文章、工具和技术等资源的非营利组织,其中,OWASP推出的弱扫工具ZAP,在世界各地也颇受欢迎,可以在OWASP官网 免费下载,并有中文界面可以切换。
其他常见的工具还有SonarQube、PumaScan、Nessus、DVM等。
知识五、弱扫收费机制
如果请网络公司协助弱扫,费用的收取方式会有两种。
第一种、在网站建设签约时
如果网站在建设时就明确有弱扫需求,那么网络公司就会在网站建设的合约中一并计算入弱扫费用。
第二种、单次收费
这种状况大多出现在网站已建设完成,定期弱扫时,也就是知识一的五个步骤。
另外,如果客户有指定使用的弱扫工具,是网络公司没有接触过的付费工具,那就可能需要额外收取开通此工具的费用,具体细节因公司、工具而易,因此请以实际合约为准。
总结
很客户会问:所有网站都需要弱扫吗?
与政府部门相关的网站规定最严格,「必须」定期进行弱扫,除此之外的网站,就取决于网站主对于安全的重视程度了,可能一年、半年、一个月进行一次弱扫,
我们认为不论网站大小与内容,为了防止被破坏,为了守护网站的正常运行,都建议定期弱扫或进行其他安全检测,来保护网站与访问者的信息安全喔!
以上内容希望对你有所帮助,还没有网站可以弱扫吗? 欢迎联络浪知潮,让我们帮你,从网站建设开始,提供最好的服务。