–利用弱點掃瞄工具(Tenable Nessus Enterprise ) ,協助客戶掃瞄網路上的設備與系統主機,檢測是否有已知的弱點,並透過專業的結果分析,提供客戶有效可行的改善方案。
–利用弱點掃瞄工具(Acunetix WVS ),對重要的網站進行掃描,詳細列出網頁應用程式的安全漏洞。針對掃瞄結果,提供分析報告與專業的改善建議。
–透過弱點的發現及修補,降低資安風險。
主機系統弱點掃瞄執行方式
- 使用自動化的弱點掃瞄工具
- 對作業系統、系統服務進行檢查
- 由外部向內部掃瞄
- 檢視由外部可得到的資訊
- 檢視防火牆等安全設備的設定是否有疏漏
- 內部直接掃瞄 (建議採用)
- 與目標主機同網段進行掃瞄
- 得到最直接的主機弱點資訊
- 分析判斷掃瞄結果
提出弱點修補建議
主機系統弱掃檢查項目
- 網路服務
- 作業系統未修補的弱點
- 常用應用程式的弱點
- 網路與安全等設備的弱點
- 系統不安全的設定
- 已知常見的後門程式
- 簡易帳號密碼破解
主機系統弱點掃瞄報告範例
網頁應用程式掃瞄執行方式
網頁應用程式弱掃工具的運作機制
- 直接對運行中的Web應用程式進行檢測,而非對程式碼做分析
- 掃瞄第一階段:分析站台結構
- 掃瞄第二階段:根據設定的掃描政策,產生出大量的測試項目(意即針對漏洞的攻擊手法) ,並依據測試標的所產生的回應,比對弱點資料庫 ,判斷是否有安全漏洞
網頁應用程式弱掃檢查內容
–Web Service 弱點掃瞄
–網頁應用程式弱點 (SQL Injection, XSS…等)
–ASP、ASP.NET、PHP、Perl、Java/J2EE等特定問題掃瞄
–評估Web Server是否有弱點或不安全的設定
–自動搜尋備份檔、記錄檔、機敏檔案或目錄
網頁應用程式弱點掃瞄報告範例
弱點管理-滲透測試服務
服務說明
- 模擬駭客的思維及行為模式,模擬網路駭客入侵時可能發生的情況。
- 測試要項
- 常見攻擊手法及可用弱點驗測
- 網路、系統、應用程式安全瑕疵滲透
- 認證跳脫、越權方式檢測
- 新型態攻擊技術驗測
- 交易流程運作邏輯漏洞
- 目的
- 驗證現行系統、應用程式、及網路的安全強度。
- 了解入侵者可能利用的途徑,以及可能造成的影響,進行改善。
滲透測試執行細部程序
滲透測試簡介與目的效益
- Penetration Test”、 “Pentest”
- 滲透測試是模擬駭客行為的測試
- 滲透測試是模擬駭客的思維模式,應用駭客的工具與技術,對目標進行滲透。但不具駭客的破壞行為。
- 滲透測試是駭客入侵的實際演練
- 滲透測試嘗試取得系統弱點的實際驗證及存取權限或未授權的機密資料。
- 可檢測出自行開發的應用程式漏洞及未知弱點
- 評估遭到入侵之風險
- 評估可能遭受入侵的途徑
- 評估重要系統遭到入侵的影響範圍及損失
- 評估機密資料洩露的影響範圍及損失
- 提高企業網路之安全強度
- 修補企業網路存在的安全漏洞
- 修正已知及未被公佈之漏洞
- 修正系統或安全設備不當的設定
- 排除未授權存取系統的可能性
- 排除資訊洩露的可能性
滲透測試檢驗項目
–系統不當設定、預設設定檢測
–資訊洩漏、目錄洩漏檢測
–緩衝區溢位(Buffer Overflow)
–格式化字串(Format String)
–堆積溢位(Stack Overflow)問題檢測
–認證跳脫、越權方式檢測
–密碼強度、懶人密碼檢測
–信任關係檢測
–已知可攻擊的漏洞檢測
–資訊隱碼(Injection)檢測
–跨腳本攻擊(XSS)檢測
–垂直權限跳脫檢測
–水平權限跳脫檢測
滲透測試服務報告範例
Ø
