新增教育部網站應用程式弱點監測服務綠由
針對網站入侵事件層出不窮,教育部委託資通安全服務中心團隊,開發教育部網站應用程式弱點監測平台,並於民國九十八年第三季陸續移交各區網中心,並且提供TANET連線學校申請網站弱點掃描檢測服務,此網站檢測服務針對SQL-Injection「資料隱碼攻擊」與XSS「跨網站字串攻擊」兩弱點,以自動化方式檢測申請,並產生掃描結果與修補建議報告,期能提昇TANET 資安防護水準。
網站應用程式弱點監測服務申請步驟
民國98年第三季起,臺北區網中心臺大計資中心提供此網站應用程式弱點監測平台服務,推展於臺北區網連線學校及臺大校內系所。
申請者申請網站弱點掃描時,需要透過瀏覽器連到http://mozart.cc.ntu.edu.tw/註冊login ID ,於輸入ID過程中,系統會確認是否有相同帳號密碼;並且於申請過程中引導申請者填寫網站弱點掃描同意書,透過傳真或是郵寄同意書至臺大計資中心,待計資中心收到後會透過相同方式回傳保密切結書,並且在收到同意書後系統會開放權限,申請者再透過網路登錄欲掃描的網站,系統會再次審核,待核過後即可線上排程網站掃描。
掃描的過程中會有參考google 搜尋URL,spider程式對網站進行抓取(crawl URL),接著進行XSS弱點檢測,SQL Injection 弱點檢測。掃描的結果產生報告,提供申請使用者除了當次結果可於當次完成後檢視審核外,線上亦可隨時查看網站歷史掃描紀錄並比較前後相同網站的掃描結果。
另外,若是掃描的網站因非系統的障礙,如之間的網路中斷而造成掃描中斷亦可再繼續原先的掃描行程。掃描完成同時,掃描完成後的報表也會提供修補的相關建議。相關的修補建議俾使作為將來網站管理者對網站安全決策之參考,也能全面提昇教育單位的資安能量。
※ 網站應用程式弱點掃描