1 / 18

教育單位網站應用程式弱點監測平台 - 桃園區域網路中心營運點

教育單位網站應用程式弱點監測平台 - 桃園區域網路中心營運點. 申請及操作流程. http://ewavs.tyc.edu.tw. 國立中央大學 電算中心 邱惠隆. 大綱. OWASP 功用 服務對象 檢測上之限制 申請流程簡介 操作流程簡介 實機操作. OWASP. OWASP(Open Web Application Security Project) 旨在協助解決造成不安全 Web 軟體的主因,並透過開放式計畫的方式,由組織成員研發工具與撰寫技術文件,向全世界分享最新網站的攻擊趨勢、與測試及防禦方法 。.

tanner
Download Presentation

教育單位網站應用程式弱點監測平台 - 桃園區域網路中心營運點

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 教育單位網站應用程式弱點監測平台-桃園區域網路中心營運點教育單位網站應用程式弱點監測平台-桃園區域網路中心營運點 申請及操作流程 http://ewavs.tyc.edu.tw 國立中央大學 電算中心 邱惠隆

  2. 大綱 OWASP 功用 服務對象 檢測上之限制 申請流程簡介 操作流程簡介 實機操作

  3. OWASP • OWASP(Open Web Application Security Project)旨在協助解決造成不安全Web軟體的主因,並透過開放式計畫的方式,由組織成員研發工具與撰寫技術文件,向全世界分享最新網站的攻擊趨勢、與測試及防禦方法。

  4. 2010年由OWASP 提出(每年都會更新) Injection Cross Site Scripting(XSS): Broken Authentication and Session Management Insecure Direct Object Reference Cross Site Request Forgery(CSRF) Security Misconfiguration Failure to Restrict URL Access Unvalidated Redirects and Forwards Insecure Cryptographic Storage: Insufficient Transport Layer Protection (出處:資安人網站) OWASP- Top 10 Web弱點

  5. 教育單位弱點監測平台

  6. 功用 • 教育單位網站應用程式弱點監測平台主要提供 TANet 連線單位申請網站檢測服務,針對SQL Injection、XSS、備份檔案、不適當配置處理、目錄索引與惡意檔案執行檢測服務,並提出相關的防護與修補建議,以自動化方式檢測申請單位轄下之網站,並產生掃瞄結果與修補建議報告,期能兼顧時效性與準確性,提升 TANet 資安防護水準。 另外,監測平台 ( 僅成大資通安全研發中心營運點 ) 會主動蒐集各網站淪陷資訊,即時將 .edu.tw 淪陷網站清單傳送給教育部,以利於後續通知、修補之工作。 • 弱點監測項目持續增加。

  7. 服務對象 教育單位網站應用程式弱點監測平台主要之服務對象為 TANet 連線單位,只要各單位網站隸屬 TANet 連線單位皆可使用本監測平台之服務。

  8. 檢測上之限制 • 只允許 TANet 連線單位申請使用服務。 • 僅提供申請單位進行所屬 ( 管轄 ) 網域內之網站檢測申請。 • 目前只針對SQL Injection、XSS、備份檔案、不適當配置處理、目錄索引與惡意檔案執行檢測服務,並提出相關的防護與修補建議。 • 需指定時段 ( 早 06:00~18:00 ;晚 18:01~05:59) 以進行檢測,若檢測時程超過指定時段,則系統將自行中斷。 ( 解決方式請參考檢測網站相關問題之 5) 。 • 監測平台對受測網站有設定時間限制 (Request Timeout) ,若超過時限 (30 分鐘 ) ,則跳過該筆 URL 檢測,以掌控檢測時程。 • 受測網站之應用程式中,若含有 Flash 架構或自訂 JavaScript 語法之 URL ,可能無法順利進行弱點檢測 ( 僅對於該筆 URL) 。

  9. 申請流程

  10. 操作流程

  11. 操作流程(注意事項) • 點擊「後台頁面設定-開啟」連結後,可設定網站登入頁面資料、cookie資料。 • 點選「說明」連結,可檢視後台頁面登入設定教學。 • 平台檢測若遇到以下情況,則後台登入功能無法作用 • 1. 利用Flash製作的後台登入頁面。 • 2. 登入頁面需填入驗證碼。 • 點擊「送出」按鈕後,檢視排程確認,點擊「確定」後完成排程設定。

  12. 操作流程

  13. 操作流程

  14. 操作流程

  15. 操作流程

  16. 操作流程

  17. 實機操作 http://ewavs.tyc.edu.tw

  18. Thank You!

More Related