当前位置: 首页>资讯中心>网站运维>文章正文

弱扫是什么? 关于弱扫的五个小知识

发布时间:2022-12-06 11:09访问人数:110来源:本站

弱扫是什么? 关于弱扫的五个小知识

「XXX近日遭黑客攻击,造成数万个人信息流出,目前正......」

身为金融从业人员、购物网站主、政府机关人员,这样的标题是不是让你胆战心惊呢? 今天要讨论的主题就是在网站上线前,能让您防患胜于未然的「网站弱扫」。

前言 — 弱扫是什么?

弱扫其实是「弱点扫描 Vulnerability Assessment」的缩写,概念就像是给网站打的疫苗。

利用工具,侦测网站的弱点,再将网站的各个角落进行风险级别分类,进而通过修缮这些弱点,加强网站的保护屏障。

在了解弱扫是什么之后,我们相信你心中还是有一些疑惑,为了解答这些疑惑,接下来的文章,将会以一边补充背景知识,一边整理问题的方式呈现:

知识一、弱扫的进行步骤

以浪知潮为例,假如委托浪知潮进行弱扫,会经历以下五个步骤:

弱扫的进行步骤

1.远程弱扫开始

通常网络公司人员会使用远程工具,不必到客户身边,也能透过IT设定开始弱扫,弱扫的进行通常会维持一天左右。

这时候,许多客户会有疑惑:

Q1:这一天的弱扫,会影响用户吗?

答案是99%不会。

弱扫工具有很多种,有些工具会主动攻击网站,测试网站承受度,但不会把网站攻击到无法正常运作的程度,有些则是会使得网站新增许多“脏”信息,基本上,以上状况都不影响网站的使用。

2.弱扫结束,产出报告

报告分成两个,第一个报告的内容为此网站中低、中、高风险存在位置分析,由弱扫工具提供。 第二份则是由网络公司整理第一份报告内容,加上相对应的解法与报价组成,这一份才是客户真正会看到的报告。

Q2:客户不能直接看第一份报告吗?

其实可以。

但就如同去医院照X光,照片出来了,但是没有专业人员解说,一般人可能很难理解身体究竟出了什么问题,更别说是治疗了。

3.针对报告中要修复的内容双方进行协商、报价

若您在收到报告后,对解法或报价有疑惑、感到不满意,例如,想要将该高风险项目在更进步变得更稳固,或某些地方暂时不用修,都可以在此阶段提出,与网络公司协商、议价。

4.协商完成,开始修网站

协商完成,网络公司在收到回签的报价单后,即会开始安排工程师进行维修。

5.修完再扫,产出修正说明报告

维修完成后,会再进行一次弱扫,确认此次维修部分已完成,再出具此次修正说明报告供客户留存。

知识二、弱扫的频率

这个频率没有固定答案,但是会造成影响的因素有以下两点:

3.jpg

1.依据法规

依据资通安全管理法及子法规定,公务机关与特定非公务机关的资通安全责任层级从A至E共分为五级,依据层级,弱扫需一至两年进行乙次,配合其他资安相关措施,详情可以点这边看法规。

2.该公司对资安的重视程度

以浪知潮经验而言,一般情况下,一个网站最少一年应进行一次弱扫,每年更新屏障,避免新型态黑客。 我们也有遇过非常重视资安的客户,要求必须每月或甚至每周进行弱扫。

知识三、弱扫与中病毒的关系

再以疫苗举例一次,打完疫苗之后仍有染疫风险,弱扫仅能帮助你「加强防御,降低风险」,但仍无法完全避免黑客的恶意攻击。

Q3:既然弱扫无法完全避免攻击,有什么更有效的方式吗?

还有一种安全测试方式,常常跟弱扫一起被提起——「渗透测试」。

相较半自动的弱点扫描,渗透测试的操作方式更为人工、复杂,以真人操作模拟黑客思维来攻击网站,更直接、有效率的抓出网站的弱点,但因为人工运行,无法大规模操作,较耗时也耗人力。

知识四、常用的弱扫工具

浪知潮最常使用的弱扫工具是「OWASP ZAP」。

OWASP是「Open Web Application Security Project」的缩写,白话文就是开放网络软件安全计画,由Mark Curphey 2001年于美国创立,是为在网络安全领域,替大众提供免费的文章、工具和技术等资源的非营利组织,其中,OWASP推出的弱扫工具ZAP,在世界各地也颇受欢迎,可以在OWASP官网 免费下载,并有中文界面可以切换。

其他常见的工具还有SonarQube、PumaScan、Nessus、DVM等。

知识五、弱扫收费机制

如果请网络公司协助弱扫,费用的收取方式会有两种。

第一种、在网站建设签约时

如果网站在建设时就明确有弱扫需求,那么网络公司就会在网站建设的合约中一并计算入弱扫费用。

第二种、单次收费

这种状况大多出现在网站已建设完成,定期弱扫时,也就是知识一的五个步骤。

另外,如果客户有指定使用的弱扫工具,是网络公司没有接触过的付费工具,那就可能需要额外收取开通此工具的费用,具体细节因公司、工具而易,因此请以实际合约为准。

总结

很客户会问:所有网站都需要弱扫吗?

与政府部门相关的网站规定最严格,「必须」定期进行弱扫,除此之外的网站,就取决于网站主对于安全的重视程度了,可能一年、半年、一个月进行一次弱扫,

我们认为不论网站大小与内容,为了防止被破坏,为了守护网站的正常运行,都建议定期弱扫或进行其他安全检测,来保护网站与访问者的信息安全喔!

以上内容希望对你有所帮助,还没有网站可以弱扫吗? 欢迎联络浪知潮,让我们帮你,从网站建设开始,提供最好的服务。

版权:【注明为本站原创的文章,转载请注明出处与原文地址!本站部分转载文章能找到原作者的我们都会注明,若文章涉及版权请发至邮箱:service@langzhichao.com,我们以便及时处理,可支付稿费。向本站投稿或需要本站向贵司网站定期免费投稿请加QQ:1115814032】

SEO按天计费

南京浪知潮网络科技有限公司 Copyright © 2012-2019 All Rights Reserved.未经许可,不可拷贝或镜像    网站地图