看似安全無虞的網站,90%被入侵仍不自覺。駭客任意竊取網站資料、植入惡意程式。在外破壞公司商譽,你還被蒙在鼓裡!映鴻設計利用自動化工具掃描網站。列出網站看不見的安全隱憂,提出分析報告。每年並依據 OWASP(Open Web Application Security Project) 組織提出之10大安全漏洞,進行軟體的更新及升級,強化資安防禦。
弱點掃描是利用自動化的弱點掃描工具,針對整體的主機系統、整個的網站架構進行掃描。
模仿駭客入侵行為,找出網站程式漏洞。列出網站看不見的安全隱憂,提出分析報告。每年並依據 OWASP(Open Web Application Se-curity Project) 組織提出之10大安全漏洞,進行軟體的更新及升級,強化資安防禦。並且掃描過程中不會影響網站效能表現。
映鴻設計弱點掃描模仿駭客入侵行為,採取不同攻擊模式,針對不同的目地,找出各自的漏洞掃描過程中不會影響網站效能表現,請客戶放心。
因為程式設計不良,誤把惡意夾帶的文字當作 SQL 指令執行。
網站的密碼進行檢查,限制是否過於寬鬆,導致密碼容易被猜中現在密碼需要英數大小寫混合,並輸入驗證碼,即是因應對策。
檢查架站常用的軟體,如 Wordpress、Joomla 等。此類軟體為開放原始碼 (Open Source) 軟體,常成為駭客覬覦的對象。
檢查上傳表單程式的漏洞,例如社群網站要使用者上傳大頭照,是否有限制只能上傳圖檔格式。如沒有限制,駭客可上傳惡意檔案。
使用者在不知情的情況透過瀏覽器攻擊目標網站,例如濫發郵件,甚至轉帳或購買商品。
檢查網路安全。像是惡意造假DNS封包,引導訪客連錯誤網站,telnet 暴力破解密碼。
檢查一些像是 text search 備份檔目錄 目錄清單等。
駭客利用 Google 找尋獵物。於是 Google 建立一套指令資料庫 (database of queries),辨識網站是否容易受到這些指令的攻擊。
跨網站指令碼入侵 | 網頁錯誤訊息入侵 | HTML跨網站請求偽造攻擊 |
---|---|---|
駭客可藉由此漏洞將惡意程式碼放置在網頁中,使用者觀看網頁時,盜取使用者資訊,並進階攻擊其他網站或是濫發垃圾信。 | 出現此錯誤訊息表示網站可能會洩露網站使用者隱私資訊,並且被用於引發進一步的攻擊,例如竊取管理者權限/盜用個資。 | 駭客在使用者不知情之下,藉由使用者的使用行為攻擊網站。如果駭客最終的目標是管理權限,將可能危害整個網站安全。 |
使用者資料未經加密傳輸 | 網站程式原始碼曝漏 | 網站程式碼路徑挖掘 |
駭客可以透過攔截未加密的HTTP連線,從中竊取使用者傳輸的資料內容。 | 駭客可以不需要經過驗證直接讀取原始碼,並藉此得到使用者隱私資訊,甚至可以攻擊原始碼漏洞,進一步癱瘓網站。 | 出現此錯誤訊息表示網站可能會洩露網站使用者隱私資訊,並洩露資料庫的所在路徑,等同資料庫不設防。 |
完成網站弱點掃描之後,由專業工程師針對報告指出的漏洞提出修改建議,讓您確實明白如何修正網站。