Download presentation
Presentation is loading. Please wait.
1
1 教育單位網站應用程式弱點監測平台 - 桃園區域網路中心營運點 http://ewavs.tyc.edu.tw 申請及操作流程 國立中央大學 電算中心 邱惠隆
2
©2011 Computer Center, National Central University. 2 大綱 OWASP 功用 服務對象 檢測上之限制 申請流程簡介 操作流程簡介 實機操作
3
©2011 Computer Center, National Central University. 3 OWASP OWASP(Open Web Application Security Project) 旨在協助解決造成不安全 Web 軟體的主因,並透 過開放式計畫的方式,由組織成員研發工具與撰 寫技術文件,向全世界分享最新網站的攻擊趨勢 、與測試及防禦方法。
4
©2011 Computer Center, National Central University. 4 2010 年 由 OWASP 提出 ( 每年都會更新 ) Injection Cross Site Scripting(XSS) : Broken Authentication and Session Management Insecure Direct Object Reference Cross Site Request Forgery(CSRF) Security Misconfiguration Failure to Restrict URL Access Unvalidated Redirects and Forwards Insecure Cryptographic Storage : Insufficient Transport Layer Protection ( 出處:資安人網站 ) OWASP- Top 10 Web 弱點
5
©2011 Computer Center, National Central University. 5 教育單位弱點監測平台
6
©2011 Computer Center, National Central University. 6 功用 僅供網站 / 網頁的檢測服務。 教育單位網站應用程式弱點監測平台主要提供 TANet 連線單 位申請網站檢測服務,針對 SQL Injection 、 XSS 、備份檔案、 不適當配置處理、目錄索引與惡意檔案執行檢測服務, 並提 出相關的防護與修補建議,以自動化方式檢測申請單位轄下之 網站,並產生掃瞄結果與修補建議報告,期能兼顧時效性與準 確性,提升 TANet 資安防護水準。 另外,監測平台 ( 僅成大資通安全研發中心營運點 ) 會主 動蒐集各網站淪陷資訊,即時將.edu.tw 淪陷網站清單傳 送給教育部,以利於後續通知、修補之工作。 弱點監測項目持續增加。
7
©2011 Computer Center, National Central University. 7 服務對象 教育單位網站應用程式弱點監測平台主要之服務對象為 TANet 連線單位,只要各單位網站隸屬 TANet 連線單位 皆可使用本監測平台之服務。
8
©2011 Computer Center, National Central University. 8 檢測上之限制 只允許 TANet 連線單位申請使用服務。 僅提供申請單位進行所屬 ( 管轄 ) 網域內之網站檢測申請。 目前只針對 SQL Injection 、 XSS 、備份檔案、不適當配置處理、目錄 索引與惡意檔案執行檢測服務,並提出相關的防護與修補建議。 需指定時段 ( 早 06:00~18:00 ;晚 18:01~05:59) 以進行檢測,若檢 測時程超過指定時段,則系統將自行中斷。 ( 解決方式請參考檢測網 站相關問題之 5) 。 監測平台對受測網站有設定時間限制 (Request Timeout) ,若超過時 限 (30 分鐘 ) ,則跳過該筆 URL 檢測,以掌控檢測時程。 受測網站之應用程式中,若含有 Flash 架構或自訂 JavaScript 語法 之 URL ,可能無法順利進行弱點檢測 ( 僅對於該筆 URL) 。
9
©2011 Computer Center, National Central University. 9 申請流程
10
©2011 Computer Center, National Central University. 10 操作流程
11
©2011 Computer Center, National Central University. 11 操作流程 ( 注意事項 ) 點擊「後台頁面設定 - 開啟」連結後,可設定網站 登入頁面資料、 cookie 資料。 點選「說明」連結,可檢視後台頁面登入設定教 學。 平台檢測若遇到以下情況,則後台登入功能無法作用 1. 利用 Flash 製作的後台登入頁面。 2. 登入頁面需填入驗證碼。 點擊「送出」按鈕後,檢視排程確認,點擊「確 定」後完成排程設定。
12
©2011 Computer Center, National Central University. 12 操作流程
13
©2011 Computer Center, National Central University. 13 操作流程
14
©2011 Computer Center, National Central University. 14 操作流程
15
©2011 Computer Center, National Central University. 15 操作流程
16
©2011 Computer Center, National Central University. 16 操作流程
17
©2011 Computer Center, National Central University. 17 實機操作 http://ewavs.tyc.edu.tw
18
©2011 Computer Center, National Central University. 18 Thank You!
Similar presentations
