SlideShare a Scribd company logo

網頁弱點掃描服務簡報 20120606

F
Fionsu
Business
1 of 19
eDC acer eDC 網頁弱點掃描服務產品 介紹
eDC 簡報大綱 • 面臨企業的風險 • 服務特色 • 服務內容 • 服務報告內容 • 客戶配合事項 2
eDC 風險管理困擾 • 我如何確認是否單位已經符合 下次要作的安全符合性稽核呢? • 我如何得知組織內那裡暴露出最 嚴重的安全性? 我應該從何處修 補起? • 我如何修復違反政策的設定? • 我如何保護我的資產, 並使修補 作業流程自動化? 以獲得最大管 理效益? 3
變化快速的系統弱點與更新速度 eDC 2012-02 2012-03 2012-04 4
eDC OWASP Top Ten (2010 Edition) 5
eDC 服務特色 • 節省企業人力支出,提升網站安全使用環境 – 依據服務需求採購( Buy as Demand) – 大幅節省成本,企業不用花大錢編列資安預算 • acer eDC 專業培訓人員協助檢測 – 提供專業分析 – 降低軟硬體成本 – 降低誤判事件 • 詳盡弱點分析 – 專屬團隊分析 – 詳盡弱點問題描述 – 專業弱點修正建議描述 – 系統化之風險分析 6
eDC 服務能量 • 服務客戶數:40家 • 2012每季最高掃描數量:100 URL/單一客戶 • 2011年總計掃描url數量:2500 + Public Enterprise URL數量 150 100 50 0 URL數量 A B C D E F URL數量 7 G H I J
eDC 服務項目說明 • 標準服務項目 – 網頁弱點檢測 • 遠端掃描 – 提供遠端進行網站檢測作業 • Standard Policy掃描 – 標準服務套用掃描工具標準Policy進行檢測 • 掃描URL數計算方式 – 執行一個掃描工作即計算1個URL – 例如:相同URL掃描3次,以3個URL計價 • 支援白箱測試、黑箱測試 – 掃描標準報告 • 包含掃描弱點附件(PDF格式) • 掃描後1~2週內(10個工作天) 8
eDC 服務項目說明*(選項服務) • 高風險(Critical)弱點驗證報告 – 提供高風險弱點檢測結果報告 • 掃描結果簡報 • 現場簡報說明 • 複掃作業 – 依據初掃掃描結果,進行第二次掃描 • 弱點修補 – 協助項目 • 報告內容電話諮詢 • 不涉入程式碼內容 • 選購現場簡報服務 – 本服務不提供弱點修補服務 9
eDC 網頁弱點掃描服務檢測標的 • 服務工具: – HP WebInspect 9.2 • 檢測標的 – 可針對任何通訊埠允許外部使用者瀏覽的網站,進行網站安全掃描 評估 • 檢測標的類型 – Web Server: IIS、Tomcat、Apache、Weblogic..等網站服務伺服 器 – Script Language: ASP、.Net、PHP、JSP、Perl、Python.等程式 語言 – 資料庫:MSSQL、Oracle、MySQL、Access、PostgreSQL..等資 料庫 • 常見弱點 : – XSS(Cross-Site Scripting)、SQL Injection、Database Error Message、Unencrypted Login Form、Logins Sent Over Unencrypted Connection 10
eDC 網頁弱點掃描服務檢測項目 • 檢測項目種類包含: – Hidden Manipulation – Parameter Tampering – Cookie Poisoning – Stealth Commanding – Buffer overflow – Backdoor/Debug Options – Forceful Browsing – Configuration Subversion – Known vulnerabilities OWASP – Cross site scripting – SQL Injection – 3rd party mis-configuration 11
eDC 執行服務流程 6 1 5 2 3 7 4 12
eDC 掃描報告內容 • 掃描結果標準報告 – 掃描結果報告(Word格式) • 高風險弱點數統計 • 網站高風險弱點清單 – 掃描系統報表(英文、PDF格式、單一網站個別產出) • 弱點分佈統計 • 弱點說明 • 弱點的AP程式路徑 • 修補建議 • 掃描結果簡報(選項服務) – 弱點驗證分析 – 修補建議說明 13
eDC 掃描結果報告 • 高風險弱點數統計數量 序號 URL / IP 高風險弱點數量 1 www.aaa.com.tw 434 2 www.bbb.com.tw 243 3 www.ccc.com.tw 123 4 www.ddd.com.tw 96 5 www.eee.com.tw 5 14
eDC 掃描結果報告 • 網站高風險弱點清單 URL / IP 弱點描述 弱點等級 弱點修補參考文件 詳細修補建議請參閱附件檔 www.aaa.com.tw Cross-Site Scripting Critical www.aaa.com.tw.zip SQL Injection Critical 詳細修補建議請參閱附件檔 www.bbb.com.tw www.bbb.com.tw.zip Unencrypted Login Form High 詳細修補建議請參閱附件檔 www.ccc.com.tw Cross-Site Scripting Critical www.ccc.com.tw.zip 15
eDC 掃描系統報表 16
eDC 掃描系統報表-修補建議 17
eDC 客戶配合事項 • 確認檢測時程 – 執行掃描作業二週前 – 執行夜間、假日時程 • 掃描清單填寫 – 掃描清單調查表 • 指定客戶專案窗口 • 開放掃描主機IP – 外部:210.241.129.2 (客戶需對此IP開放防火牆) • 政府客戶: – GSN外部掃描申請書(政府單位需要) – 向GSN申請允許eDC向客戶網站進行檢測 18
eDC 問題與討論 19

Recommended

網站程式資安白箱與黑箱檢測處理經驗分享
網站程式資安白箱與黑箱檢測處理經驗分享網站程式資安白箱與黑箱檢測處理經驗分享
網站程式資安白箱與黑箱檢測處理經驗分享
Ying-Chun Cheng
 
KubeVirt 101
KubeVirt 101KubeVirt 101
KubeVirt 101
VirtualTech Japan Inc.
 
Jbatch実践入門 #jdt2015
Jbatch実践入門 #jdt2015Jbatch実践入門 #jdt2015
Jbatch実践入門 #jdt2015
Norito Agetsuma
 
Docker with RHEL7 技術勉強会
Docker with RHEL7 技術勉強会Docker with RHEL7 技術勉強会
Docker with RHEL7 技術勉強会
Etsuji Nakai
 
モバイル向けEdgeTPUの紹介
モバイル向けEdgeTPUの紹介モバイル向けEdgeTPUの紹介
モバイル向けEdgeTPUの紹介
卓然 郭
 
LINE LIVE のチャットが
30,000+/min のコメント投稿を捌くようになるまで
LINE LIVE のチャットが
30,000+/min のコメント投稿を捌くようになるまでLINE LIVE のチャットが
30,000+/min のコメント投稿を捌くようになるまで
LINE LIVE のチャットが
30,000+/min のコメント投稿を捌くようになるまで
LINE Corporation
 
Pythonでキャッシュを活用する話①
Pythonでキャッシュを活用する話①Pythonでキャッシュを活用する話①
Pythonでキャッシュを活用する話①
iPride Co., Ltd.
 
OpenStack DVR_What is DVR?
OpenStack DVR_What is DVR?OpenStack DVR_What is DVR?
OpenStack DVR_What is DVR?
Yongyoon Shin
 

Recommended

網站程式資安白箱與黑箱檢測處理經驗分享
網站程式資安白箱與黑箱檢測處理經驗分享網站程式資安白箱與黑箱檢測處理經驗分享
網站程式資安白箱與黑箱檢測處理經驗分享
Ying-Chun Cheng
 
KubeVirt 101
KubeVirt 101KubeVirt 101
KubeVirt 101
VirtualTech Japan Inc.
 
Jbatch実践入門 #jdt2015
Jbatch実践入門 #jdt2015Jbatch実践入門 #jdt2015
Jbatch実践入門 #jdt2015
Norito Agetsuma
 
Docker with RHEL7 技術勉強会
Docker with RHEL7 技術勉強会Docker with RHEL7 技術勉強会
Docker with RHEL7 技術勉強会
Etsuji Nakai
 
モバイル向けEdgeTPUの紹介
モバイル向けEdgeTPUの紹介モバイル向けEdgeTPUの紹介
モバイル向けEdgeTPUの紹介
卓然 郭
 
LINE LIVE のチャットが
30,000+/min のコメント投稿を捌くようになるまで
LINE LIVE のチャットが
30,000+/min のコメント投稿を捌くようになるまでLINE LIVE のチャットが
30,000+/min のコメント投稿を捌くようになるまで
LINE LIVE のチャットが
30,000+/min のコメント投稿を捌くようになるまで
LINE Corporation
 
Pythonでキャッシュを活用する話①
Pythonでキャッシュを活用する話①Pythonでキャッシュを活用する話①
Pythonでキャッシュを活用する話①
iPride Co., Ltd.
 
OpenStack DVR_What is DVR?
OpenStack DVR_What is DVR?OpenStack DVR_What is DVR?
OpenStack DVR_What is DVR?
Yongyoon Shin
 
アプリケーションの性能最適化2(CPU単体性能最適化)
アプリケーションの性能最適化2(CPU単体性能最適化)アプリケーションの性能最適化2(CPU単体性能最適化)
アプリケーションの性能最適化2(CPU単体性能最適化)
RCCSRENKEI
 
Spiderストレージエンジンのご紹介
Spiderストレージエンジンのご紹介Spiderストレージエンジンのご紹介
Spiderストレージエンジンのご紹介
Kentoku
 
開源 x 節流:企業導入實例分享 (二) [2015/09/19] 軟體自由日研討會
開源 x 節流:企業導入實例分享 (二) [2015/09/19] 軟體自由日研討會開源 x 節流:企業導入實例分享 (二) [2015/09/19] 軟體自由日研討會
開源 x 節流:企業導入實例分享 (二) [2015/09/19] 軟體自由日研討會
Jason Cheng
 
NVIDIA/deepopsを触ってみた話
NVIDIA/deepopsを触ってみた話NVIDIA/deepopsを触ってみた話
NVIDIA/deepopsを触ってみた話
Kota Tsuyuzaki
 
Docker 基本のおさらい
Docker 基本のおさらいDocker 基本のおさらい
Docker 基本のおさらい
Naoki Nagazumi
 
仮想化技術によるマルウェア対策とその問題点
仮想化技術によるマルウェア対策とその問題点仮想化技術によるマルウェア対策とその問題点
仮想化技術によるマルウェア対策とその問題点
Kuniyasu Suzaki
 
OpenStackで始めるクラウド環境構築入門(Horizon 基礎編)
OpenStackで始めるクラウド環境構築入門(Horizon 基礎編)OpenStackで始めるクラウド環境構築入門(Horizon 基礎編)
OpenStackで始めるクラウド環境構築入門(Horizon 基礎編)
VirtualTech Japan Inc.
 
How to run P4 BMv2
How to run P4 BMv2How to run P4 BMv2
How to run P4 BMv2
Kentaro Ebisawa
 
自宅インフラの育て方 第2回
自宅インフラの育て方 第2回自宅インフラの育て方 第2回
自宅インフラの育て方 第2回
富士通クラウドテクノロジーズ株式会社
 
今さら聞けない人のためのDocker超入門 – OpenStack最新情報セミナー 2015年4月
今さら聞けない人のためのDocker超入門 – OpenStack最新情報セミナー 2015年4月今さら聞けない人のためのDocker超入門 – OpenStack最新情報セミナー 2015年4月
今さら聞けない人のためのDocker超入門 – OpenStack最新情報セミナー 2015年4月
VirtualTech Japan Inc.
 
PowerShellが苦手だった男がPowerShellを愛するようになるまで
PowerShellが苦手だった男がPowerShellを愛するようになるまでPowerShellが苦手だった男がPowerShellを愛するようになるまで
PowerShellが苦手だった男がPowerShellを愛するようになるまで
Kazuhiro Matsushima
 
最新機能までを総ざらい!PostgreSQLの注目機能を振り返る(第32回 中国地方DB勉強会 in 岡山 発表資料)
最新機能までを総ざらい!PostgreSQLの注目機能を振り返る(第32回 中国地方DB勉強会 in 岡山 発表資料)最新機能までを総ざらい!PostgreSQLの注目機能を振り返る(第32回 中国地方DB勉強会 in 岡山 発表資料)
最新機能までを総ざらい!PostgreSQLの注目機能を振り返る(第32回 中国地方DB勉強会 in 岡山 発表資料)
NTT DATA Technology & Innovation
 
企業システムにSELinuxを適用するときの検討事項
企業システムにSELinuxを適用するときの検討事項企業システムにSELinuxを適用するときの検討事項
企業システムにSELinuxを適用するときの検討事項
Atsushi Mitsu
 
Java EE パフォーマンスTips #glassfish_jp
Java EE パフォーマンスTips #glassfish_jpJava EE パフォーマンスTips #glassfish_jp
Java EE パフォーマンスTips #glassfish_jp
Norito Agetsuma
 
SSHパケットの復号ツールを作ろう_v1(Decrypt SSH .pcap File)
SSHパケットの復号ツールを作ろう_v1(Decrypt SSH .pcap File)SSHパケットの復号ツールを作ろう_v1(Decrypt SSH .pcap File)
SSHパケットの復号ツールを作ろう_v1(Decrypt SSH .pcap File)
Tetsuya Hasegawa
 
Mis網管實戰經驗分享
Mis網管實戰經驗分享Mis網管實戰經驗分享
Mis網管實戰經驗分享
小翰 蔡
 
自宅ネットワーク構築
自宅ネットワーク構築自宅ネットワーク構築
自宅ネットワーク構築
asuka y
 
0914心理學史簡介
0914心理學史簡介0914心理學史簡介
0914心理學史簡介
Visual Cognition and Modeling Lab
 
Redmineで始めるチケット駆動開発
Redmineで始めるチケット駆動開発Redmineで始めるチケット駆動開発
Redmineで始めるチケット駆動開発
Takuya Sato
 
ネットワーク運用自動化のためのサービス・運用設計
ネットワーク運用自動化のためのサービス・運用設計ネットワーク運用自動化のためのサービス・運用設計
ネットワーク運用自動化のためのサービス・運用設計
Yuya Rin
 
http flood and mobile app
http flood and mobile apphttp flood and mobile app
http flood and mobile app
im_yunshu
 
张松国 腾讯微博架构介绍08
张松国 腾讯微博架构介绍08张松国 腾讯微博架构介绍08
张松国 腾讯微博架构介绍08
drewz lin
 

More Related Content

What's hot

アプリケーションの性能最適化2(CPU単体性能最適化)
アプリケーションの性能最適化2(CPU単体性能最適化)アプリケーションの性能最適化2(CPU単体性能最適化)
アプリケーションの性能最適化2(CPU単体性能最適化)
RCCSRENKEI
 

What's hot (20)

アプリケーションの性能最適化2(CPU単体性能最適化)
アプリケーションの性能最適化2(CPU単体性能最適化)アプリケーションの性能最適化2(CPU単体性能最適化)
アプリケーションの性能最適化2(CPU単体性能最適化)
 
Spiderストレージエンジンのご紹介
Spiderストレージエンジンのご紹介Spiderストレージエンジンのご紹介
Spiderストレージエンジンのご紹介
 
開源 x 節流:企業導入實例分享 (二) [2015/09/19] 軟體自由日研討會
開源 x 節流:企業導入實例分享 (二) [2015/09/19] 軟體自由日研討會開源 x 節流:企業導入實例分享 (二) [2015/09/19] 軟體自由日研討會
開源 x 節流:企業導入實例分享 (二) [2015/09/19] 軟體自由日研討會
 
NVIDIA/deepopsを触ってみた話
NVIDIA/deepopsを触ってみた話NVIDIA/deepopsを触ってみた話
NVIDIA/deepopsを触ってみた話
 
Docker 基本のおさらい
Docker 基本のおさらいDocker 基本のおさらい
Docker 基本のおさらい
 
仮想化技術によるマルウェア対策とその問題点
仮想化技術によるマルウェア対策とその問題点仮想化技術によるマルウェア対策とその問題点
仮想化技術によるマルウェア対策とその問題点
 
OpenStackで始めるクラウド環境構築入門(Horizon 基礎編)
OpenStackで始めるクラウド環境構築入門(Horizon 基礎編)OpenStackで始めるクラウド環境構築入門(Horizon 基礎編)
OpenStackで始めるクラウド環境構築入門(Horizon 基礎編)
 
How to run P4 BMv2
How to run P4 BMv2How to run P4 BMv2
How to run P4 BMv2
 
自宅インフラの育て方 第2回
自宅インフラの育て方 第2回自宅インフラの育て方 第2回
自宅インフラの育て方 第2回
 
今さら聞けない人のためのDocker超入門 – OpenStack最新情報セミナー 2015年4月
今さら聞けない人のためのDocker超入門 – OpenStack最新情報セミナー 2015年4月今さら聞けない人のためのDocker超入門 – OpenStack最新情報セミナー 2015年4月
今さら聞けない人のためのDocker超入門 – OpenStack最新情報セミナー 2015年4月
 
PowerShellが苦手だった男がPowerShellを愛するようになるまで
PowerShellが苦手だった男がPowerShellを愛するようになるまでPowerShellが苦手だった男がPowerShellを愛するようになるまで
PowerShellが苦手だった男がPowerShellを愛するようになるまで
 
最新機能までを総ざらい!PostgreSQLの注目機能を振り返る(第32回 中国地方DB勉強会 in 岡山 発表資料)
最新機能までを総ざらい!PostgreSQLの注目機能を振り返る(第32回 中国地方DB勉強会 in 岡山 発表資料)最新機能までを総ざらい!PostgreSQLの注目機能を振り返る(第32回 中国地方DB勉強会 in 岡山 発表資料)
最新機能までを総ざらい!PostgreSQLの注目機能を振り返る(第32回 中国地方DB勉強会 in 岡山 発表資料)
 
企業システムにSELinuxを適用するときの検討事項
企業システムにSELinuxを適用するときの検討事項企業システムにSELinuxを適用するときの検討事項
企業システムにSELinuxを適用するときの検討事項
 
Java EE パフォーマンスTips #glassfish_jp
Java EE パフォーマンスTips #glassfish_jpJava EE パフォーマンスTips #glassfish_jp
Java EE パフォーマンスTips #glassfish_jp
 
SSHパケットの復号ツールを作ろう_v1(Decrypt SSH .pcap File)
SSHパケットの復号ツールを作ろう_v1(Decrypt SSH .pcap File)SSHパケットの復号ツールを作ろう_v1(Decrypt SSH .pcap File)
SSHパケットの復号ツールを作ろう_v1(Decrypt SSH .pcap File)
 
Mis網管實戰經驗分享
Mis網管實戰經驗分享Mis網管實戰經驗分享
Mis網管實戰經驗分享
 
自宅ネットワーク構築
自宅ネットワーク構築自宅ネットワーク構築
自宅ネットワーク構築
 
0914心理學史簡介
0914心理學史簡介0914心理學史簡介
0914心理學史簡介
 
Redmineで始めるチケット駆動開発
Redmineで始めるチケット駆動開発Redmineで始めるチケット駆動開発
Redmineで始めるチケット駆動開発
 
ネットワーク運用自動化のためのサービス・運用設計
ネットワーク運用自動化のためのサービス・運用設計ネットワーク運用自動化のためのサービス・運用設計
ネットワーク運用自動化のためのサービス・運用設計
 

Similar to 網頁弱點掃描服務簡報 20120606

http flood and mobile app
http flood and mobile apphttp flood and mobile app
http flood and mobile app
im_yunshu
 
张松国 腾讯微博架构介绍08
张松国 腾讯微博架构介绍08张松国 腾讯微博架构介绍08
张松国 腾讯微博架构介绍08
drewz lin
 
議題三:政府網站常見弱點與分析
議題三:政府網站常見弱點與分析議題三:政府網站常見弱點與分析
議題三:政府網站常見弱點與分析
Nicolas su
 
Request Management
Request ManagementRequest Management
Request Management
Sun Wei
 
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
Scourgen Hong
 
美团前端架构简介
美团前端架构简介美团前端架构简介
美团前端架构简介
pan weizeng
 
数据库性能量化
数据库性能量化数据库性能量化
数据库性能量化
mysqlops
 
数据库性能量化 叶正盛
数据库性能量化 叶正盛数据库性能量化 叶正盛
数据库性能量化 叶正盛
yzsind
 
数据库性能量化
数据库性能量化数据库性能量化
数据库性能量化
yzsind
 
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
colderboy17
 

Similar to 網頁弱點掃描服務簡報 20120606 (20)

http flood and mobile app
http flood and mobile apphttp flood and mobile app
http flood and mobile app
 
张松国 腾讯微博架构介绍08
张松国 腾讯微博架构介绍08张松国 腾讯微博架构介绍08
张松国 腾讯微博架构介绍08
 
去哪儿Ugc平台设计经验
去哪儿Ugc平台设计经验去哪儿Ugc平台设计经验
去哪儿Ugc平台设计经验
 
議題三:政府網站常見弱點與分析
議題三:政府網站常見弱點與分析議題三:政府網站常見弱點與分析
議題三:政府網站常見弱點與分析
 
中大型规模的网站架构运维 Saac
中大型规模的网站架构运维 Saac中大型规模的网站架构运维 Saac
中大型规模的网站架构运维 Saac
 
移动互联网服务端架构介绍
移动互联网服务端架构介绍移动互联网服务端架构介绍
移动互联网服务端架构介绍
 
Request Management
Request ManagementRequest Management
Request Management
 
資安健檢因應配套
資安健檢因應配套資安健檢因應配套
資安健檢因應配套
 
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
 
美团前端架构简介
美团前端架构简介美团前端架构简介
美团前端架构简介
 
淘宝双11双12案例分享
淘宝双11双12案例分享淘宝双11双12案例分享
淘宝双11双12案例分享
 
金山云查询系统改进之路1
金山云查询系统改进之路1金山云查询系统改进之路1
金山云查询系统改进之路1
 
数据库性能量化
数据库性能量化数据库性能量化
数据库性能量化
 
数据库性能量化 叶正盛
数据库性能量化 叶正盛数据库性能量化 叶正盛
数据库性能量化 叶正盛
 
数据库性能量化
数据库性能量化数据库性能量化
数据库性能量化
 
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
 
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
 
大型电商的数据服务的要点和难点
大型电商的数据服务的要点和难点 大型电商的数据服务的要点和难点
大型电商的数据服务的要点和难点
 
Internet System Security Overview
Internet System Security OverviewInternet System Security Overview
Internet System Security Overview
 
05.wls调优
05.wls调优05.wls调优
05.wls调优
 

網頁弱點掃描服務簡報 20120606

  • 1. eDC acer eDC 網頁弱點掃描服務產品 介紹
  • 2. eDC 簡報大綱 • 面臨企業的風險 • 服務特色 • 服務內容 • 服務報告內容 • 客戶配合事項 2
  • 3. eDC 風險管理困擾 • 我如何確認是否單位已經符合 下次要作的安全符合性稽核呢? • 我如何得知組織內那裡暴露出最 嚴重的安全性? 我應該從何處修 補起? • 我如何修復違反政策的設定? • 我如何保護我的資產, 並使修補 作業流程自動化? 以獲得最大管 理效益? 3
  • 5. eDC OWASP Top Ten (2010 Edition) 5
  • 6. eDC 服務特色 • 節省企業人力支出,提升網站安全使用環境 – 依據服務需求採購( Buy as Demand) – 大幅節省成本,企業不用花大錢編列資安預算 • acer eDC 專業培訓人員協助檢測 – 提供專業分析 – 降低軟硬體成本 – 降低誤判事件 • 詳盡弱點分析 – 專屬團隊分析 – 詳盡弱點問題描述 – 專業弱點修正建議描述 – 系統化之風險分析 6
  • 7. eDC 服務能量 • 服務客戶數:40家 • 2012每季最高掃描數量:100 URL/單一客戶 • 2011年總計掃描url數量:2500 + Public Enterprise URL數量 150 100 50 0 URL數量 A B C D E F URL數量 7 G H I J
  • 8. eDC 服務項目說明 • 標準服務項目 – 網頁弱點檢測 • 遠端掃描 – 提供遠端進行網站檢測作業 • Standard Policy掃描 – 標準服務套用掃描工具標準Policy進行檢測 • 掃描URL數計算方式 – 執行一個掃描工作即計算1個URL – 例如:相同URL掃描3次,以3個URL計價 • 支援白箱測試、黑箱測試 – 掃描標準報告 • 包含掃描弱點附件(PDF格式) • 掃描後1~2週內(10個工作天) 8
  • 9. eDC 服務項目說明*(選項服務) • 高風險(Critical)弱點驗證報告 – 提供高風險弱點檢測結果報告 • 掃描結果簡報 • 現場簡報說明 • 複掃作業 – 依據初掃掃描結果,進行第二次掃描 • 弱點修補 – 協助項目 • 報告內容電話諮詢 • 不涉入程式碼內容 • 選購現場簡報服務 – 本服務不提供弱點修補服務 9
  • 10. eDC 網頁弱點掃描服務檢測標的 • 服務工具: – HP WebInspect 9.2 • 檢測標的 – 可針對任何通訊埠允許外部使用者瀏覽的網站,進行網站安全掃描 評估 • 檢測標的類型 – Web Server: IIS、Tomcat、Apache、Weblogic..等網站服務伺服 器 – Script Language: ASP、.Net、PHP、JSP、Perl、Python.等程式 語言 – 資料庫:MSSQL、Oracle、MySQL、Access、PostgreSQL..等資 料庫 • 常見弱點 : – XSS(Cross-Site Scripting)、SQL Injection、Database Error Message、Unencrypted Login Form、Logins Sent Over Unencrypted Connection 10
  • 11. eDC 網頁弱點掃描服務檢測項目 • 檢測項目種類包含: – Hidden Manipulation – Parameter Tampering – Cookie Poisoning – Stealth Commanding – Buffer overflow – Backdoor/Debug Options – Forceful Browsing – Configuration Subversion – Known vulnerabilities OWASP – Cross site scripting – SQL Injection – 3rd party mis-configuration 11
  • 12. eDC 執行服務流程 6 1 5 2 3 7 4 12
  • 13. eDC 掃描報告內容 • 掃描結果標準報告 – 掃描結果報告(Word格式) • 高風險弱點數統計 • 網站高風險弱點清單 – 掃描系統報表(英文、PDF格式、單一網站個別產出) • 弱點分佈統計 • 弱點說明 • 弱點的AP程式路徑 • 修補建議 • 掃描結果簡報(選項服務) – 弱點驗證分析 – 修補建議說明 13
  • 14. eDC 掃描結果報告 • 高風險弱點數統計數量 序號 URL / IP 高風險弱點數量 1 www.aaa.com.tw 434 2 www.bbb.com.tw 243 3 www.ccc.com.tw 123 4 www.ddd.com.tw 96 5 www.eee.com.tw 5 14
  • 15. eDC 掃描結果報告 • 網站高風險弱點清單 URL / IP 弱點描述 弱點等級 弱點修補參考文件 詳細修補建議請參閱附件檔 www.aaa.com.tw Cross-Site Scripting Critical www.aaa.com.tw.zip SQL Injection Critical 詳細修補建議請參閱附件檔 www.bbb.com.tw www.bbb.com.tw.zip Unencrypted Login Form High 詳細修補建議請參閱附件檔 www.ccc.com.tw Cross-Site Scripting Critical www.ccc.com.tw.zip 15
  • 16. eDC 掃描系統報表 16
  • 17. eDC 掃描系統報表-修補建議 17
  • 18. eDC 客戶配合事項 • 確認檢測時程 – 執行掃描作業二週前 – 執行夜間、假日時程 • 掃描清單填寫 – 掃描清單調查表 • 指定客戶專案窗口 • 開放掃描主機IP – 外部:210.241.129.2 (客戶需對此IP開放防火牆) • 政府客戶: – GSN外部掃描申請書(政府單位需要) – 向GSN申請允許eDC向客戶網站進行檢測 18
  • 19. eDC 問題與討論 19