你知道自己的網站是否安全嗎?

近期，香港接二連三有網站被黑客成功入侵，他們除了將網站內偷取的資料上載到互聯網，亦將整個入侵過程詳細列出。從這些事件，我們發現這些黑客攻擊手法十分有系統及熟練，能夠在短時間內找出網站內漏洞並進行入侵。這些入侵事件令公眾再次關注網站保安不足的問題。

網路應用系統的保安

雖然很多公司都有使用防火牆和防惡意程式來保護網絡內的電腦，但要保護你的網站，還是不足夠。你們還需留意網站伺服器的操作系統和應用系統是否已採用最新版本或在使用的版本上安裝所需的保安修補程式。如果是自行開發的網路應用系統，還需要對系統程式進行安全測試。

對於網路應用系統的安全，有一個權威的全球性安全組織，OWASP (The Open Source Web Application Security Project)，致力於改善應用系統安全的研究，他們在2013年6月剛公佈了 “2013十大最嚴重網路應用系統安全風險 (OWASP Top 10 - 2013)” 報告。

2013十大網路應用系統安全風險：

• A1 注入攻擊
• A2 失效的驗證與連線管理
• A3 跨站腳本程式攻擊 (XSS)
• A4 不安全的物件參考
• A5 不當的安全組態設定
• A6 敏感資料洩露
• A7 缺少功能級別的存取控制
• A8 跨站請求偽造 (CSRF)
• A9 使用已知漏洞元件
• A10 未經驗證的重新導向與轉送

當中排名第一是注入攻擊，攻擊者利用輸入驗證的漏洞，執行未經許可的指令或查詢。常見攻擊方式有SQL 程式碼注入，它可以讀取或修改網站資料庫內容。

評估網路應用系統的安全

一般個人或中小企網站因資源問題，沒有職員專責維護網站安全，引致網站缺乏更新成為黑客的獵物。有見及此，我們為大家介紹以下工具，協助你們初步評估網站的安全水平。

注意：所有掃瞄檢查必須獲得網站擁有人授權才可進行。

Qualys 免費在線掃瞄
http://www.qualys.com/forms/freescan/website-scan
完成線上登記後(需要使用公司/機構電郵申請帳戶)，可以獲得10次免費在線掃瞄，這個工具適合檢查公開的網站。

圖1： 無需安裝，只要使用瀏覽器登入你的帳戶，輸入目標網址或IP地址便可進行掃瞄

圖2：掃瞄報告列出找出的保安漏洞位置及解決建議

Netsparker 試用版
https://www.mavitunasecurity.com/demo
完成線上登記後，可以獲得15天免費試用授權碼。這個工具適合檢查內部的網站。

圖3：軟件需要安裝在 Windows XP或以上版本，開啟軟件後，建立一個新的掃瞄和輸入目標網址便可進行掃瞄

完成掃瞄後，若報告發現網站存在漏洞，請將報告交給網站管理員或公司，然後依照建議去修補漏洞。

更多有關網上應用程式保安資訊，請參考網上應用程式安全指南