【資安科普】弱掃是什麼？關於弱掃的五個小知識與QA

「XX購物網近日遭駭客攻擊，造成數萬筆個資流出，目前警調單位正......」

身為金融從業人員、購物網站主、政府機關人員，這樣的標題是不是讓你膽戰心驚呢？今天要討論的主題就是在網站上線前，能讓您防患勝於未然的「網站弱掃」。

｜目錄｜

・前言－弱掃是什麼？・知識一、弱掃的進行步驟

・知識二、弱掃的頻率

・知識三、弱掃與中病毒的關係

・知識四、常用的弱掃工具

・知識五、弱掃的收費機制

・結論

前言 — 弱掃是什麼？

弱掃其實是「弱點掃描 Vulnerability Assessment」的縮寫，概念就像是給網站打的疫苗。

利用工具，偵測網站的弱點，再將網站的各個角落進行風險級別分類，進而透過修繕這些弱點，加強網站的保護屏障。

在了解弱掃是什麼之後，我相信你心中還是有一些疑惑，為了解答這些疑惑，接下來的文章，將會以一邊補充背景知識，一邊整理問題的方式呈現：

知識一、弱掃的進行步驟

以夏木樂為例，假如委託夏木樂進行弱掃，會經歷以下五個步驟：

1.遠端弱掃開始

通常網頁公司人員會使用遠端工具，不必到客戶身邊，也能透過IT設定開始弱掃，弱掃的進行通常會維持一天左右。

這時候，許多客戶會有疑惑：

Q1：這一天的弱掃，會影響使用者嗎？

答案是「99%不會」。

弱掃工具有很多種，有些工具會主動攻擊網站，測試網站承受度，但不會把網站攻擊到無法正常運作的程度，有些則是會使得網站新增許多髒資料，基本上，以上狀況都不影響網站的使用。

2.弱掃結束，產出報告

報告分成兩個，第一個報告的內容為此網站中低、中、高風險存在位置分析，由弱掃工具提供。第二份則是由網頁設計公司整理第一份報告內容，加上相對應的解法與報價組成，這一份才是客戶真正會看到的報告。

Q2：客戶不能直接看第一份報告嗎？

其實可以。

但就如同去醫院照X光，照片出來了，但是沒有專業人員解說，一般人可能很難理解身體究竟出了什麼問題，更別說是治療了。

3.針對報告中要修復的內容雙方進行協商、報價

若您在收到報告後，對解法或報價有疑惑、感到不滿意，例如，想要將該高風險項目在更進步變得更穩固，或某些地方暫時不用修，都可以在此階段提出，與網頁設計公司協商、議價。

4.協商完成，開始修網站

協商完成，網頁設計公司在收到回簽的報價單後，即會開始安排工程師進行維修。

5.修完再掃，產出修正說明報告

維修完成後，會再進行一次弱掃，確認此次維修部分已完成，再出具此次修正說明報告供客戶留存。

知識二、弱掃的頻率

這個頻率沒有固定答案，但是會造成影響的因素有以下兩點：

1.依據法規

依據「資通安全管理法及子法」規定，公務機關與特定非公務機關的資通安全責任層級從A至E共分為五級，依據層級，弱掃需一至兩年進行乙次，配合其他資安相關措施，詳情可以點這邊看法規。

2.該公司對資安的重視程度

以夏木樂經驗而言，一般情況下，一個網站最少一年應進行一次弱掃，每年更新屏障，避免新型態駭客。我們也有遇過非常重視資安的客戶，要求必須每月或甚至每週進行弱掃。

知識三、弱掃與中病毒的關係

再以疫苗舉例一次，打完疫苗之後仍有染疫風險，弱掃僅能幫助你「加強防禦，降低風險」，但仍無法完全避免駭客的惡意攻擊。

Q3：既然弱掃無法完全避免攻擊，有什麼更有效的方式嗎？

還有一種資安測試方式，常常跟弱掃一起被提起——「滲透測試」。

相較半自動的弱點掃描，滲透測試的操作方式更為人工、複雜，以真人操作模擬駭客思維來攻擊網站，更直接、有效率的抓出網站的弱點，但因爲人工運行，無法大規模操作，較耗時也耗人力。

知識四、常用的弱掃工具

夏木樂最常使用的弱掃工具是「OWASP ZAP」。

OWASP是「Open Web Application Security Project」的縮寫，白話文就是開放網路軟體安全計畫，由Mark Curphey 2001年於美國創立，是為在網路安全領域，替大眾提供免費的文章、工具和技術等資源的非營利組織，其中，OWASP推出的弱掃工具ZAP，在世界各地也頗受歡迎，可以在OWASP官網免費下載，並有中文介面可以切換。

其他常見的工具還有SonarQube、PumaScan、Nessus、DVM等。

知識五、弱掃收費機制

如果請網頁設計公司協助弱掃，費用的收取方式會有兩種。

第一種、在網站建置簽約時

如果網站在建置時就明確有弱掃需求，那麼網頁設計公司就會在網站建置的合約中一併計算入弱掃費用。

第二種、單次收費

這種狀況大多出現在網站已建置完成，定期弱掃時，也就是知識一的五個步驟。

另外，如果客戶有指定使用的弱掃工具，是網頁設計公司沒有接觸過的付費工具，那就可能需要額外收取開通此工具的費用，具體細節因公司、工具而易，因此請以實際合約為準。

總結

很客戶會問：所有網站都需要弱掃嗎？

與政府部門相關的網站規定最嚴格，「必須」定期進行弱掃，除此之外的網站，就取決於網站主對於資安的重視程度了，可能一年、半年、一個月進行一次弱掃，

我們認為不論網站大小與內容，為了防止資安被破壞，為了守護網站的和平，都建議定期弱掃或進行其他資安檢測，來保護網站與造訪者的資訊安全喔！

以上文章，希望對你有所幫助，還沒有網站可以弱掃嗎？歡迎聯絡我們，夏木樂，品牌網頁設計專家，讓我們幫你，從網頁設計開始，提供最好的服務。