Recomendados
Más contenido relacionado
La actualidad más candente
La actualidad más candente (20)
Similar a 網頁弱點掃描服務簡報 20120606
Similar a 網頁弱點掃描服務簡報 20120606 (20)
Último
Último (8)
網頁弱點掃描服務簡報 20120606
- 1. eDC acer eDC 網頁弱點掃描服務產品 介紹
- 2. eDC 簡報大綱 • 面臨企業的風險 • 服務特色 • 服務內容 • 服務報告內容 • 客戶配合事項 2
- 3. eDC 風險管理困擾 • 我如何確認是否單位已經符合 下次要作的安全符合性稽核呢? • 我如何得知組織內那裡暴露出最 嚴重的安全性? 我應該從何處修 補起? • 我如何修復違反政策的設定? • 我如何保護我的資產, 並使修補 作業流程自動化? 以獲得最大管 理效益? 3
- 4. 變化快速的系統弱點與更新速度 eDC 2012-02 2012-03 2012-04 4
- 5. eDC OWASP Top Ten (2010 Edition) 5
- 6. eDC 服務特色 • 節省企業人力支出,提升網站安全使用環境 – 依據服務需求採購( Buy as Demand) – 大幅節省成本,企業不用花大錢編列資安預算 • acer eDC 專業培訓人員協助檢測 – 提供專業分析 – 降低軟硬體成本 – 降低誤判事件 • 詳盡弱點分析 – 專屬團隊分析 – 詳盡弱點問題描述 – 專業弱點修正建議描述 – 系統化之風險分析 6
- 7. eDC 服務能量 • 服務客戶數:40家 • 2012每季最高掃描數量:100 URL/單一客戶 • 2011年總計掃描url數量:2500 + Public Enterprise URL數量 150 100 50 0 URL數量 A B C D E F URL數量 7 G H I J
- 8. eDC 服務項目說明 • 標準服務項目 – 網頁弱點檢測 • 遠端掃描 – 提供遠端進行網站檢測作業 • Standard Policy掃描 – 標準服務套用掃描工具標準Policy進行檢測 • 掃描URL數計算方式 – 執行一個掃描工作即計算1個URL – 例如:相同URL掃描3次,以3個URL計價 • 支援白箱測試、黑箱測試 – 掃描標準報告 • 包含掃描弱點附件(PDF格式) • 掃描後1~2週內(10個工作天) 8
- 9. eDC 服務項目說明*(選項服務) • 高風險(Critical)弱點驗證報告 – 提供高風險弱點檢測結果報告 • 掃描結果簡報 • 現場簡報說明 • 複掃作業 – 依據初掃掃描結果,進行第二次掃描 • 弱點修補 – 協助項目 • 報告內容電話諮詢 • 不涉入程式碼內容 • 選購現場簡報服務 – 本服務不提供弱點修補服務 9
- 10. eDC 網頁弱點掃描服務檢測標的 • 服務工具: – HP WebInspect 9.2 • 檢測標的 – 可針對任何通訊埠允許外部使用者瀏覽的網站,進行網站安全掃描 評估 • 檢測標的類型 – Web Server: IIS、Tomcat、Apache、Weblogic..等網站服務伺服 器 – Script Language: ASP、.Net、PHP、JSP、Perl、Python.等程式 語言 – 資料庫:MSSQL、Oracle、MySQL、Access、PostgreSQL..等資 料庫 • 常見弱點 : – XSS(Cross-Site Scripting)、SQL Injection、Database Error Message、Unencrypted Login Form、Logins Sent Over Unencrypted Connection 10
- 11. eDC 網頁弱點掃描服務檢測項目 • 檢測項目種類包含: – Hidden Manipulation – Parameter Tampering – Cookie Poisoning – Stealth Commanding – Buffer overflow – Backdoor/Debug Options – Forceful Browsing – Configuration Subversion – Known vulnerabilities OWASP – Cross site scripting – SQL Injection – 3rd party mis-configuration 11
- 12. eDC 執行服務流程 6 1 5 2 3 7 4 12
- 13. eDC 掃描報告內容 • 掃描結果標準報告 – 掃描結果報告(Word格式) • 高風險弱點數統計 • 網站高風險弱點清單 – 掃描系統報表(英文、PDF格式、單一網站個別產出) • 弱點分佈統計 • 弱點說明 • 弱點的AP程式路徑 • 修補建議 • 掃描結果簡報(選項服務) – 弱點驗證分析 – 修補建議說明 13
- 14. eDC 掃描結果報告 • 高風險弱點數統計數量 序號 URL / IP 高風險弱點數量 1 www.aaa.com.tw 434 2 www.bbb.com.tw 243 3 www.ccc.com.tw 123 4 www.ddd.com.tw 96 5 www.eee.com.tw 5 14
- 15. eDC 掃描結果報告 • 網站高風險弱點清單 URL / IP 弱點描述 弱點等級 弱點修補參考文件 詳細修補建議請參閱附件檔 www.aaa.com.tw Cross-Site Scripting Critical www.aaa.com.tw.zip SQL Injection Critical 詳細修補建議請參閱附件檔 www.bbb.com.tw www.bbb.com.tw.zip Unencrypted Login Form High 詳細修補建議請參閱附件檔 www.ccc.com.tw Cross-Site Scripting Critical www.ccc.com.tw.zip 15
- 16. eDC 掃描系統報表 16
- 17. eDC 掃描系統報表-修補建議 17
- 18. eDC 客戶配合事項 • 確認檢測時程 – 執行掃描作業二週前 – 執行夜間、假日時程 • 掃描清單填寫 – 掃描清單調查表 • 指定客戶專案窗口 • 開放掃描主機IP – 外部:210.241.129.2 (客戶需對此IP開放防火牆) • 政府客戶: – GSN外部掃描申請書(政府單位需要) – 向GSN申請允許eDC向客戶網站進行檢測 18
- 19. eDC 問題與討論 19