大型商用弱點掃描軟體,找出"已知"的弱點或是漏洞進而修補,將風險降到最低

自動化可避免在人工操作時可能造成不夠全面或是遺漏的疏失點

針對作業系統的弱點、網路服務的弱點、作業系統或網路服務 的設定、帳號密碼設定及管理方式等進行弱點檢測,系統弱點 掃描的檢測項目須符合CVE發布的弱點,至少包含以下項目:

  • A、作業系統未修正的漏洞掃描
  • B、常用應用程式漏洞掃描
  • C、網路服務程式掃描
  • D、木馬、後門程式掃描
  • E、帳號密碼破解測試
  • F、系統之不安全與錯誤設定檢測
  • G、網路通訊埠掃描

針對對外主機網頁安全弱點進行掃描,檢測項目須符合 OWASP TOP 10 2013 的項目:

  • A、A1-Injection
  • B、A2-Broken Authentication and Session Management
  • C、A3-Cross-Site Scripting (XSS)
  • D、A4-Insecure Direct Object References
  • E、A5-Security Misconfiguration
  • F、A6-Sensitive Data Exposure
  • G、A7-Missing Function Level Access Control
  • H、A8-Cross-Site Request Forgery (CSRF)
  • I、A9-Using Components with Known Vulnerabilities
  • J、A10-Unvalidated Redirects and Forwards
執行作法