Enviar búsqueda
Cargar
網頁弱點掃描服務簡報 20120606
•
5 recomendaciones
•
2,240 vistas
F
Fionsu
Seguir
Empresariales
Vista de diapositivas
Denunciar
Compartir
Vista de diapositivas
Denunciar
Compartir
1 de 19
Recomendados
議題二:Web應用程式安全防護
議題二:Web應用程式安全防護
Nicolas su
網站程式資安白箱與黑箱檢測處理經驗分享
網站程式資安白箱與黑箱檢測處理經驗分享
Ying-Chun Cheng
人工智慧不是魔法,是數學
人工智慧不是魔法,是數學
Yen-lung Tsai
SQL injection
SQL injection
Raj Parmar
(A7)cross site scripting
(A7)cross site scripting
OWASP Nagoya
滲透測試簡述(資訊安全顧問服務)
滲透測試簡述(資訊安全顧問服務)
wanhung1911
台科大網路鑑識課程 封包分析及中繼站追蹤
台科大網路鑑識課程 封包分析及中繼站追蹤
jack51706
해시암호와 비밀번호 - 9th KUSISWALL
해시암호와 비밀번호 - 9th KUSISWALL
Hajin Jang
Recomendados
議題二:Web應用程式安全防護
議題二:Web應用程式安全防護
Nicolas su
網站程式資安白箱與黑箱檢測處理經驗分享
網站程式資安白箱與黑箱檢測處理經驗分享
Ying-Chun Cheng
人工智慧不是魔法,是數學
人工智慧不是魔法,是數學
Yen-lung Tsai
SQL injection
SQL injection
Raj Parmar
(A7)cross site scripting
(A7)cross site scripting
OWASP Nagoya
滲透測試簡述(資訊安全顧問服務)
滲透測試簡述(資訊安全顧問服務)
wanhung1911
台科大網路鑑識課程 封包分析及中繼站追蹤
台科大網路鑑識課程 封包分析及中繼站追蹤
jack51706
해시암호와 비밀번호 - 9th KUSISWALL
해시암호와 비밀번호 - 9th KUSISWALL
Hajin Jang
SQL Injection attack
SQL Injection attack
Rayudu Babu
Windows Privilege Escalation
Windows Privilege Escalation
Riyaz Walikar
Acunetix - Web Vulnerability Scanner
Acunetix - Web Vulnerability Scanner
Comguard India
API Security - OWASP top 10 for APIs + tips for pentesters
API Security - OWASP top 10 for APIs + tips for pentesters
Inon Shkedy
Sql injection
Sql injection
Zidh
Sql injection
Sql injection
Nuruzzaman Milon
開発キックオフ時にマネージャが行うべき11のこと ~Visual Studio Online & TFS 使い始めと HOME 画面の構成
開発キックオフ時にマネージャが行うべき11のこと ~Visual Studio Online & TFS 使い始めと HOME 画面の構成
慎一 古賀
Sql Injection - Vulnerability and Security
Sql Injection - Vulnerability and Security
Sandip Chaudhari
Not a Security Boundary: Bypassing User Account Control
Not a Security Boundary: Bypassing User Account Control
enigma0x3
Sql Injection attacks and prevention
Sql Injection attacks and prevention
helloanand
英国オープンバンキング技術仕様の概要
英国オープンバンキング技術仕様の概要
Tatsuo Kudo
資訊安全入門
資訊安全入門
Tyler Chen
Xss attack
Xss attack
Manjushree Mashal
Sql injection - security testing
Sql injection - security testing
Napendra Singh
SQL injection: Not Only AND 1=1 (updated)
SQL injection: Not Only AND 1=1 (updated)
Bernardo Damele A. G.
SQL INJECTION
SQL INJECTION
Mentorcs
Sql injection attack
Sql injection attack
RajKumar Rampelli
Harnessing the Power of AI in AWS Pentesting.pdf
Harnessing the Power of AI in AWS Pentesting.pdf
Mike Felch
窺探職場上所需之資安專業技術與能力 Tdohconf
窺探職場上所需之資安專業技術與能力 Tdohconf
jack51706
SQL INJECTION
SQL INJECTION
Anoop T
http flood and mobile app
http flood and mobile app
im_yunshu
张松国 腾讯微博架构介绍08
张松国 腾讯微博架构介绍08
drewz lin
Más contenido relacionado
La actualidad más candente
SQL Injection attack
SQL Injection attack
Rayudu Babu
Windows Privilege Escalation
Windows Privilege Escalation
Riyaz Walikar
Acunetix - Web Vulnerability Scanner
Acunetix - Web Vulnerability Scanner
Comguard India
API Security - OWASP top 10 for APIs + tips for pentesters
API Security - OWASP top 10 for APIs + tips for pentesters
Inon Shkedy
Sql injection
Sql injection
Zidh
Sql injection
Sql injection
Nuruzzaman Milon
開発キックオフ時にマネージャが行うべき11のこと ~Visual Studio Online & TFS 使い始めと HOME 画面の構成
開発キックオフ時にマネージャが行うべき11のこと ~Visual Studio Online & TFS 使い始めと HOME 画面の構成
慎一 古賀
Sql Injection - Vulnerability and Security
Sql Injection - Vulnerability and Security
Sandip Chaudhari
Not a Security Boundary: Bypassing User Account Control
Not a Security Boundary: Bypassing User Account Control
enigma0x3
Sql Injection attacks and prevention
Sql Injection attacks and prevention
helloanand
英国オープンバンキング技術仕様の概要
英国オープンバンキング技術仕様の概要
Tatsuo Kudo
資訊安全入門
資訊安全入門
Tyler Chen
Xss attack
Xss attack
Manjushree Mashal
Sql injection - security testing
Sql injection - security testing
Napendra Singh
SQL injection: Not Only AND 1=1 (updated)
SQL injection: Not Only AND 1=1 (updated)
Bernardo Damele A. G.
SQL INJECTION
SQL INJECTION
Mentorcs
Sql injection attack
Sql injection attack
RajKumar Rampelli
Harnessing the Power of AI in AWS Pentesting.pdf
Harnessing the Power of AI in AWS Pentesting.pdf
Mike Felch
窺探職場上所需之資安專業技術與能力 Tdohconf
窺探職場上所需之資安專業技術與能力 Tdohconf
jack51706
SQL INJECTION
SQL INJECTION
Anoop T
La actualidad más candente
(20)
SQL Injection attack
SQL Injection attack
Windows Privilege Escalation
Windows Privilege Escalation
Acunetix - Web Vulnerability Scanner
Acunetix - Web Vulnerability Scanner
API Security - OWASP top 10 for APIs + tips for pentesters
API Security - OWASP top 10 for APIs + tips for pentesters
Sql injection
Sql injection
Sql injection
Sql injection
開発キックオフ時にマネージャが行うべき11のこと ~Visual Studio Online & TFS 使い始めと HOME 画面の構成
開発キックオフ時にマネージャが行うべき11のこと ~Visual Studio Online & TFS 使い始めと HOME 画面の構成
Sql Injection - Vulnerability and Security
Sql Injection - Vulnerability and Security
Not a Security Boundary: Bypassing User Account Control
Not a Security Boundary: Bypassing User Account Control
Sql Injection attacks and prevention
Sql Injection attacks and prevention
英国オープンバンキング技術仕様の概要
英国オープンバンキング技術仕様の概要
資訊安全入門
資訊安全入門
Xss attack
Xss attack
Sql injection - security testing
Sql injection - security testing
SQL injection: Not Only AND 1=1 (updated)
SQL injection: Not Only AND 1=1 (updated)
SQL INJECTION
SQL INJECTION
Sql injection attack
Sql injection attack
Harnessing the Power of AI in AWS Pentesting.pdf
Harnessing the Power of AI in AWS Pentesting.pdf
窺探職場上所需之資安專業技術與能力 Tdohconf
窺探職場上所需之資安專業技術與能力 Tdohconf
SQL INJECTION
SQL INJECTION
Similar a 網頁弱點掃描服務簡報 20120606
http flood and mobile app
http flood and mobile app
im_yunshu
张松国 腾讯微博架构介绍08
张松国 腾讯微博架构介绍08
drewz lin
去哪儿Ugc平台设计经验
去哪儿Ugc平台设计经验
mysqlops
議題三:政府網站常見弱點與分析
議題三:政府網站常見弱點與分析
Nicolas su
中大型规模的网站架构运维 Saac
中大型规模的网站架构运维 Saac
Chao Zhu
移动互联网服务端架构介绍
移动互联网服务端架构介绍
arganzheng
Request Management
Request Management
Sun Wei
資安健檢因應配套
資安健檢因應配套
Galaxy Software Services
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
Scourgen Hong
美团前端架构简介
美团前端架构简介
pan weizeng
淘宝双11双12案例分享
淘宝双11双12案例分享
vanadies10
金山云查询系统改进之路1
金山云查询系统改进之路1
Zoom Quiet
数据库性能量化
数据库性能量化
yzsind
数据库性能量化 叶正盛
数据库性能量化 叶正盛
yzsind
数据库性能量化
数据库性能量化
mysqlops
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
colderboy17
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
guiyingshenxia
大型电商的数据服务的要点和难点
大型电商的数据服务的要点和难点
Chao Zhu
Internet System Security Overview
Internet System Security Overview
ChinaNetCloud
05.wls调优
05.wls调优
Meng He
Similar a 網頁弱點掃描服務簡報 20120606
(20)
http flood and mobile app
http flood and mobile app
张松国 腾讯微博架构介绍08
张松国 腾讯微博架构介绍08
去哪儿Ugc平台设计经验
去哪儿Ugc平台设计经验
議題三:政府網站常見弱點與分析
議題三:政府網站常見弱點與分析
中大型规模的网站架构运维 Saac
中大型规模的网站架构运维 Saac
移动互联网服务端架构介绍
移动互联网服务端架构介绍
Request Management
Request Management
資安健檢因應配套
資安健檢因應配套
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
美团前端架构简介
美团前端架构简介
淘宝双11双12案例分享
淘宝双11双12案例分享
金山云查询系统改进之路1
金山云查询系统改进之路1
数据库性能量化
数据库性能量化
数据库性能量化 叶正盛
数据库性能量化 叶正盛
数据库性能量化
数据库性能量化
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
大型电商的数据服务的要点和难点
大型电商的数据服务的要点和难点
Internet System Security Overview
Internet System Security Overview
05.wls调优
05.wls调优
Último
Abortion Pills for sale in Ajman (UAE) ((+27.7377;58;557) Abortion Pills / Cy...
Abortion Pills for sale in Ajman (UAE) ((+27.7377;58;557) Abortion Pills / Cy...
daisycvs
Hi 00971552965071 ABORTION PILLS IN Marina Palm Jumeirah JVC
Hi 00971552965071 ABORTION PILLS IN Marina Palm Jumeirah JVC
schonejummy
IN MUSCAT & OMAN 🏥[^(+968_76875161*))☎️)¥) LEGIT Cytotec Pills.
IN MUSCAT & OMAN 🏥[^(+968_76875161*))☎️)¥) LEGIT Cytotec Pills.
zuhaibhaideri99
Al Doha +971552965071 Abortion Pills in Doha Qatar Al Wakrah misoprostol/cyto...
Al Doha +971552965071 Abortion Pills in Doha Qatar Al Wakrah misoprostol/cyto...
schonejummy
Abortion in AL AIN*%UAE^*[☎️+971523788684**]]@ @# Abortion pills for sale in ...
Abortion in AL AIN*%UAE^*[☎️+971523788684**]]@ @# Abortion pills for sale in ...
fionamali24
Kuwait City₩Kit【+971523788684】彡 ௹#Abortion Pills For sale In Kuwait City.
Kuwait City₩Kit【+971523788684】彡 ௹#Abortion Pills For sale In Kuwait City.
fionamali24
IN Port Alfred [[[[WhatsApp (((+27632505360))) *____**)) ABORTION PILLS FOR S...
IN Port Alfred [[[[WhatsApp (((+27632505360))) *____**)) ABORTION PILLS FOR S...
schonejummy
《段永平(投資的本質)》《段永平(投資的本質)》《段永平(投資的本質)》《段永平(投資的本質)》
《段永平(投資的本質)》《段永平(投資的本質)》《段永平(投資的本質)》《段永平(投資的本質)》
powerdd
Último
(8)
Abortion Pills for sale in Ajman (UAE) ((+27.7377;58;557) Abortion Pills / Cy...
Abortion Pills for sale in Ajman (UAE) ((+27.7377;58;557) Abortion Pills / Cy...
Hi 00971552965071 ABORTION PILLS IN Marina Palm Jumeirah JVC
Hi 00971552965071 ABORTION PILLS IN Marina Palm Jumeirah JVC
IN MUSCAT & OMAN 🏥[^(+968_76875161*))☎️)¥) LEGIT Cytotec Pills.
IN MUSCAT & OMAN 🏥[^(+968_76875161*))☎️)¥) LEGIT Cytotec Pills.
Al Doha +971552965071 Abortion Pills in Doha Qatar Al Wakrah misoprostol/cyto...
Al Doha +971552965071 Abortion Pills in Doha Qatar Al Wakrah misoprostol/cyto...
Abortion in AL AIN*%UAE^*[☎️+971523788684**]]@ @# Abortion pills for sale in ...
Abortion in AL AIN*%UAE^*[☎️+971523788684**]]@ @# Abortion pills for sale in ...
Kuwait City₩Kit【+971523788684】彡 ௹#Abortion Pills For sale In Kuwait City.
Kuwait City₩Kit【+971523788684】彡 ௹#Abortion Pills For sale In Kuwait City.
IN Port Alfred [[[[WhatsApp (((+27632505360))) *____**)) ABORTION PILLS FOR S...
IN Port Alfred [[[[WhatsApp (((+27632505360))) *____**)) ABORTION PILLS FOR S...
《段永平(投資的本質)》《段永平(投資的本質)》《段永平(投資的本質)》《段永平(投資的本質)》
《段永平(投資的本質)》《段永平(投資的本質)》《段永平(投資的本質)》《段永平(投資的本質)》
網頁弱點掃描服務簡報 20120606
1.
eDC
acer eDC 網頁弱點掃描服務產品 介紹
2.
eDC
簡報大綱 • 面臨企業的風險 • 服務特色 • 服務內容 • 服務報告內容 • 客戶配合事項 2
3.
eDC
風險管理困擾 • 我如何確認是否單位已經符合 下次要作的安全符合性稽核呢? • 我如何得知組織內那裡暴露出最 嚴重的安全性? 我應該從何處修 補起? • 我如何修復違反政策的設定? • 我如何保護我的資產, 並使修補 作業流程自動化? 以獲得最大管 理效益? 3
4.
變化快速的系統弱點與更新速度 eDC
2012-02 2012-03 2012-04 4
5.
eDC
OWASP Top Ten (2010 Edition) 5
6.
eDC
服務特色 • 節省企業人力支出,提升網站安全使用環境 – 依據服務需求採購( Buy as Demand) – 大幅節省成本,企業不用花大錢編列資安預算 • acer eDC 專業培訓人員協助檢測 – 提供專業分析 – 降低軟硬體成本 – 降低誤判事件 • 詳盡弱點分析 – 專屬團隊分析 – 詳盡弱點問題描述 – 專業弱點修正建議描述 – 系統化之風險分析 6
7.
eDC
服務能量 • 服務客戶數:40家 • 2012每季最高掃描數量:100 URL/單一客戶 • 2011年總計掃描url數量:2500 + Public Enterprise URL數量 150 100 50 0 URL數量 A B C D E F URL數量 7 G H I J
8.
eDC
服務項目說明 • 標準服務項目 – 網頁弱點檢測 • 遠端掃描 – 提供遠端進行網站檢測作業 • Standard Policy掃描 – 標準服務套用掃描工具標準Policy進行檢測 • 掃描URL數計算方式 – 執行一個掃描工作即計算1個URL – 例如:相同URL掃描3次,以3個URL計價 • 支援白箱測試、黑箱測試 – 掃描標準報告 • 包含掃描弱點附件(PDF格式) • 掃描後1~2週內(10個工作天) 8
9.
eDC
服務項目說明*(選項服務) • 高風險(Critical)弱點驗證報告 – 提供高風險弱點檢測結果報告 • 掃描結果簡報 • 現場簡報說明 • 複掃作業 – 依據初掃掃描結果,進行第二次掃描 • 弱點修補 – 協助項目 • 報告內容電話諮詢 • 不涉入程式碼內容 • 選購現場簡報服務 – 本服務不提供弱點修補服務 9
10.
eDC
網頁弱點掃描服務檢測標的 • 服務工具: – HP WebInspect 9.2 • 檢測標的 – 可針對任何通訊埠允許外部使用者瀏覽的網站,進行網站安全掃描 評估 • 檢測標的類型 – Web Server: IIS、Tomcat、Apache、Weblogic..等網站服務伺服 器 – Script Language: ASP、.Net、PHP、JSP、Perl、Python.等程式 語言 – 資料庫:MSSQL、Oracle、MySQL、Access、PostgreSQL..等資 料庫 • 常見弱點 : – XSS(Cross-Site Scripting)、SQL Injection、Database Error Message、Unencrypted Login Form、Logins Sent Over Unencrypted Connection 10
11.
eDC
網頁弱點掃描服務檢測項目 • 檢測項目種類包含: – Hidden Manipulation – Parameter Tampering – Cookie Poisoning – Stealth Commanding – Buffer overflow – Backdoor/Debug Options – Forceful Browsing – Configuration Subversion – Known vulnerabilities OWASP – Cross site scripting – SQL Injection – 3rd party mis-configuration 11
12.
eDC
執行服務流程 6 1 5 2 3 7 4 12
13.
eDC
掃描報告內容 • 掃描結果標準報告 – 掃描結果報告(Word格式) • 高風險弱點數統計 • 網站高風險弱點清單 – 掃描系統報表(英文、PDF格式、單一網站個別產出) • 弱點分佈統計 • 弱點說明 • 弱點的AP程式路徑 • 修補建議 • 掃描結果簡報(選項服務) – 弱點驗證分析 – 修補建議說明 13
14.
eDC
掃描結果報告 • 高風險弱點數統計數量 序號 URL / IP 高風險弱點數量 1 www.aaa.com.tw 434 2 www.bbb.com.tw 243 3 www.ccc.com.tw 123 4 www.ddd.com.tw 96 5 www.eee.com.tw 5 14
15.
eDC
掃描結果報告 • 網站高風險弱點清單 URL / IP 弱點描述 弱點等級 弱點修補參考文件 詳細修補建議請參閱附件檔 www.aaa.com.tw Cross-Site Scripting Critical www.aaa.com.tw.zip SQL Injection Critical 詳細修補建議請參閱附件檔 www.bbb.com.tw www.bbb.com.tw.zip Unencrypted Login Form High 詳細修補建議請參閱附件檔 www.ccc.com.tw Cross-Site Scripting Critical www.ccc.com.tw.zip 15
16.
eDC
掃描系統報表 16
17.
eDC
掃描系統報表-修補建議 17
18.
eDC
客戶配合事項 • 確認檢測時程 – 執行掃描作業二週前 – 執行夜間、假日時程 • 掃描清單填寫 – 掃描清單調查表 • 指定客戶專案窗口 • 開放掃描主機IP – 外部:210.241.129.2 (客戶需對此IP開放防火牆) • 政府客戶: – GSN外部掃描申請書(政府單位需要) – 向GSN申請允許eDC向客戶網站進行檢測 18
19.
eDC
問題與討論 19