除了耗时且贵的人工源码检测外,已有厂商推出自动源码检测工具。此外,在渗透测试服务方面,目前也有弱点扫描的自动化工具,能取代人工渗透测试功能。
Web 2.0是目前企业最热门的字眼,但是一些研究却指出70%的网站都是不安全的。为了要确保企业网站的安全,除了以人工检视原始码,目前台湾已有自动化的程序代码检测工具。此外,在渗透测试服务方面,亦有业者引进了自动化的网络弱点扫描工具。
根据网站安全公司Acunetix的研究,平均有91%的网站都具有某种型式的网站安全问题,包括SQL Injection(隐码攻击)或跨站攻击(Cross Site scrīpting,XSS)在内。为了杜绝网站数据库因为漏洞遭黑客入侵,导致相关机密数据被窃取,甚至整个网站被瘫痪,一行行检视网页程序的安全性和 漏洞,是以往大型企业为了确保网站安全而最常采用的方式。但人工检视原始码的方式,不仅耗时且成本相当昂贵,若不是重要或大型系统,企业往往不愿意负担这 样的费用。这种检测方式,称之为白箱测试。
除了耗时且贵的人工源码检测外,已有厂商推出自动源码检测工具。技术源自于中研院的阿码科技,该公司创办人兼执行长黄耀文表示,以往企业预防 网页程序软件漏洞,多是采用外围防堵方式,包括架设防火墙、IDS(入侵侦测系统)或是IPS(入侵防御系统),若能从根本的网页程序语言上,事前进行安 全漏洞的修补,将比仰赖外部的硬件防护设置更方便。
因此,阿码科技除了在2006年8月推出PHP版的自动源码检测工具外,也于今年1月底推出Java版的自动源码检测工具。因为自动源码检测工具 CodeSecure可以检测网站原始码,找出漏洞位置(源码行)并提供修补建议,黄耀文说,「因为不需要将还在开发测试中的程序上线即可检测,适合应用 程序和数据不断更新的大型网站或中小企业使用,也可作为软件委外开发的安全检测标准。」
以各种攻击手法找出网站漏洞的方式,称之为渗透测试,则是一种黑箱测试方式。以往国内政府部门经常透过渗透测试方式,检视网站的安全性,但人工进行渗透测试方式,同样面临耗时且贵的问题。目前已经有弱点扫描的自动化工具,能取代人工渗透测试功能。
数联资安总经理张肇荣表示,该公司此次引进市占第一名网络弱点扫描工具Watchfire Web Appscan,并成为台湾区总代理,主要是针对网页应用程序进行扫描,交叉比对扫描结果,找出网页应用程序的安全弱点,并提出企业修补Web应用程序漏 洞的建议,以降低机密数据外泄的风险。
