More Related Content
Similar to 網頁弱點掃描服務簡報 20120606 (20)
網頁弱點掃描服務簡報 20120606
- 1. eDC
acer eDC
網頁弱點掃描服務產品
介紹
- 2. eDC 簡報大綱
• 面臨企業的風險
• 服務特色
• 服務內容
• 服務報告內容
• 客戶配合事項
2
- 3. eDC 風險管理困擾
• 我如何確認是否單位已經符合
下次要作的安全符合性稽核呢?
• 我如何得知組織內那裡暴露出最
嚴重的安全性? 我應該從何處修
補起?
• 我如何修復違反政策的設定?
• 我如何保護我的資產, 並使修補
作業流程自動化? 以獲得最大管
理效益?
3
- 5. eDC OWASP Top Ten (2010 Edition)
5
- 6. eDC 服務特色
• 節省企業人力支出,提升網站安全使用環境
– 依據服務需求採購( Buy as Demand)
– 大幅節省成本,企業不用花大錢編列資安預算
• acer eDC 專業培訓人員協助檢測
– 提供專業分析
– 降低軟硬體成本
– 降低誤判事件
• 詳盡弱點分析
– 專屬團隊分析
– 詳盡弱點問題描述
– 專業弱點修正建議描述
– 系統化之風險分析
6
- 7. eDC 服務能量
• 服務客戶數:40家
• 2012每季最高掃描數量:100 URL/單一客戶
• 2011年總計掃描url數量:2500 +
Public
Enterprise
URL數量
150
100
50
0 URL數量
A B C D E F URL數量 7
G H I J
- 8. eDC 服務項目說明
• 標準服務項目
– 網頁弱點檢測
• 遠端掃描
– 提供遠端進行網站檢測作業
• Standard Policy掃描
– 標準服務套用掃描工具標準Policy進行檢測
• 掃描URL數計算方式
– 執行一個掃描工作即計算1個URL
– 例如:相同URL掃描3次,以3個URL計價
• 支援白箱測試、黑箱測試
– 掃描標準報告
• 包含掃描弱點附件(PDF格式)
• 掃描後1~2週內(10個工作天)
8
- 9. eDC
服務項目說明*(選項服務)
• 高風險(Critical)弱點驗證報告
– 提供高風險弱點檢測結果報告
• 掃描結果簡報
• 現場簡報說明
• 複掃作業
– 依據初掃掃描結果,進行第二次掃描
• 弱點修補
– 協助項目
• 報告內容電話諮詢
• 不涉入程式碼內容
• 選購現場簡報服務
– 本服務不提供弱點修補服務
9
- 10. eDC 網頁弱點掃描服務檢測標的
• 服務工具:
– HP WebInspect 9.2
• 檢測標的
– 可針對任何通訊埠允許外部使用者瀏覽的網站,進行網站安全掃描
評估
• 檢測標的類型
– Web Server: IIS、Tomcat、Apache、Weblogic..等網站服務伺服
器
– Script Language: ASP、.Net、PHP、JSP、Perl、Python.等程式
語言
– 資料庫:MSSQL、Oracle、MySQL、Access、PostgreSQL..等資
料庫
• 常見弱點 :
– XSS(Cross-Site Scripting)、SQL Injection、Database Error
Message、Unencrypted Login Form、Logins Sent Over
Unencrypted Connection 10
- 11. eDC
網頁弱點掃描服務檢測項目
• 檢測項目種類包含:
– Hidden Manipulation
– Parameter Tampering
– Cookie Poisoning
– Stealth Commanding
– Buffer overflow
– Backdoor/Debug Options
– Forceful Browsing
– Configuration Subversion
– Known vulnerabilities OWASP
– Cross site scripting
– SQL Injection
– 3rd party mis-configuration
11
- 12. eDC 執行服務流程
6
1
5
2 3 7
4
12
- 13. eDC
掃描報告內容
• 掃描結果標準報告
– 掃描結果報告(Word格式)
• 高風險弱點數統計
• 網站高風險弱點清單
– 掃描系統報表(英文、PDF格式、單一網站個別產出)
• 弱點分佈統計
• 弱點說明
• 弱點的AP程式路徑
• 修補建議
• 掃描結果簡報(選項服務)
– 弱點驗證分析
– 修補建議說明
13
- 14. eDC 掃描結果報告
• 高風險弱點數統計數量
序號 URL / IP 高風險弱點數量
1 www.aaa.com.tw 434
2 www.bbb.com.tw 243
3 www.ccc.com.tw 123
4 www.ddd.com.tw 96
5 www.eee.com.tw 5
14
- 15. eDC 掃描結果報告
• 網站高風險弱點清單
URL / IP 弱點描述 弱點等級 弱點修補參考文件
詳細修補建議請參閱附件檔
www.aaa.com.tw Cross-Site Scripting Critical
www.aaa.com.tw.zip
SQL Injection Critical
詳細修補建議請參閱附件檔
www.bbb.com.tw
www.bbb.com.tw.zip
Unencrypted Login Form High
詳細修補建議請參閱附件檔
www.ccc.com.tw Cross-Site Scripting Critical
www.ccc.com.tw.zip
15
- 18. eDC 客戶配合事項
• 確認檢測時程
– 執行掃描作業二週前
– 執行夜間、假日時程
• 掃描清單填寫
– 掃描清單調查表
• 指定客戶專案窗口
• 開放掃描主機IP
– 外部:210.241.129.2 (客戶需對此IP開放防火牆)
• 政府客戶:
– GSN外部掃描申請書(政府單位需要)
– 向GSN申請允許eDC向客戶網站進行檢測
18