首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

弱扫是什么?关于弱扫的五个小知识

「XXX近日遭黑客攻击,造成数万个人信息流出,目前正......」

身为金融从业人员、购物网站主、政府机关人员,这样的标题是不是让你胆战心惊呢? 今天要讨论的主题就是在网站上线前,能让您防患胜于未然的「网站弱扫」。

前言 — 弱扫是什么?

弱扫其实是「弱点扫描 Vulnerability Assessment」的缩写,概念就像是给网站打的疫苗。

利用工具,侦测网站的弱点,再将网站的各个角落进行风险级别分类,进而通过修缮这些弱点,加强网站的保护屏障。

在了解弱扫是什么之后,我们相信你心中还是有一些疑惑,为了解答这些疑惑,接下来的文章,将会以一边补充背景知识,一边整理问题的方式呈现:

知识一、弱扫的进行步骤

以浪知潮为例,假如委托浪知潮进行弱扫,会经历以下五个步骤:

1.远程弱扫开始

通常网络公司人员会使用远程工具,不必到客户身边,也能透过IT设定开始弱扫,弱扫的进行通常会维持一天左右。

这时候,许多客户会有疑惑:

Q1:这一天的弱扫,会影响用户吗?

答案是99%不会。

弱扫工具有很多种,有些工具会主动攻击网站,测试网站承受度,但不会把网站攻击到无法正常运作的程度,有些则是会使得网站新增许多“脏”信息,基本上,以上状况都不影响网站的使用。

2.弱扫结束,产出报告

报告分成两个,第一个报告的内容为此网站中低、中、高风险存在位置分析,由弱扫工具提供。 第二份则是由网络公司整理第一份报告内容,加上相对应的解法与报价组成,这一份才是客户真正会看到的报告。

Q2:客户不能直接看第一份报告吗?

其实可以。

但就如同去医院照X光,照片出来了,但是没有专业人员解说,一般人可能很难理解身体究竟出了什么问题,更别说是治疗了。

3.针对报告中要修复的内容双方进行协商、报价

若您在收到报告后,对解法或报价有疑惑、感到不满意,例如,想要将该高风险项目在更进步变得更稳固,或某些地方暂时不用修,都可以在此阶段提出,与网络公司协商、议价。

4.协商完成,开始修网站

协商完成,网络公司在收到回签的报价单后,即会开始安排工程师进行维修。

5.修完再扫,产出修正说明报告

维修完成后,会再进行一次弱扫,确认此次维修部分已完成,再出具此次修正说明报告供客户留存。

知识二、弱扫的频率

这个频率没有固定答案,但是会造成影响的因素有以下两点:

1.依据法规

依据资通安全管理法及子法规定,公务机关与特定非公务机关的资通安全责任层级从A至E共分为五级,依据层级,弱扫需一至两年进行乙次,配合其他资安相关措施,详情可以点这边看法规。

2.该公司对资安的重视程度

以浪知潮经验而言,一般情况下,一个网站最少一年应进行一次弱扫,每年更新屏障,避免新型态黑客。 我们也有遇过非常重视资安的客户,要求必须每月或甚至每周进行弱扫。

知识三、弱扫与中病毒的关系

再以疫苗举例一次,打完疫苗之后仍有染疫风险,弱扫仅能帮助你「加强防御,降低风险」,但仍无法完全避免黑客的恶意攻击。

Q3:既然弱扫无法完全避免攻击,有什么更有效的方式吗?

还有一种安全测试方式,常常跟弱扫一起被提起——「渗透测试」。

相较半自动的弱点扫描,渗透测试的操作方式更为人工、复杂,以真人操作模拟黑客思维来攻击网站,更直接、有效率的抓出网站的弱点,但因为人工运行,无法大规模操作,较耗时也耗人力。

知识四、常用的弱扫工具

浪知潮最常使用的弱扫工具是「OWASP ZAP」。

OWASP是「Open Web Application Security Project」的缩写,白话文就是开放网络软件安全计画,由Mark Curphey 2001年于美国创立,是为在网络安全领域,替大众提供免费的文章、工具和技术等资源的非营利组织,其中,OWASP推出的弱扫工具ZAP,在世界各地也颇受欢迎,可以在OWASP官网 免费下载,并有中文界面可以切换。

其他常见的工具还有SonarQube、PumaScan、Nessus、DVM等。

知识五、弱扫收费机制

如果请网络公司协助弱扫,费用的收取方式会有两种。

第一种、在网站建设签约时

如果网站在建设时就明确有弱扫需求,那么网络公司就会在网站建设的合约中一并计算入弱扫费用。

第二种、单次收费

这种状况大多出现在网站已建设完成,定期弱扫时,也就是知识一的五个步骤。

另外,如果客户有指定使用的弱扫工具,是网络公司没有接触过的付费工具,那就可能需要额外收取开通此工具的费用,具体细节因公司、工具而易,因此请以实际合约为准。

总结

很客户会问:所有网站都需要弱扫吗?

与政府部门相关的网站规定最严格,「必须」定期进行弱扫,除此之外的网站,就取决于网站主对于安全的重视程度了,可能一年、半年、一个月进行一次弱扫,

我们认为不论网站大小与内容,为了防止被破坏,为了守护网站的正常运行,都建议定期弱扫或进行其他安全检测,来保护网站与访问者的信息安全喔!

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20221213A01DA700?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券