安全服務

安全代碼審查

網上應用系統是幾乎所有公司的核心組件,其用途廣泛,最常用於收集、處理、儲存及傳輸敏感數據(如機密商業資料、人力資源數據、財務資料等)。

透過網上應用系統獲取之數據的重要性增加了其被攻擊的可能性,因此我們強烈建議進行定期評估。

我們的團隊採用自動掃描與手動測試相結合的方法,評估Java、PHP及.NET網上應用系統的源碼,以先電腦罪犯一步發現漏洞。

我們的服務由擁有豐富攻防經驗的高質素網絡安全分析師及滲透測試員提供。

我們在安全代碼審查中測試什麼?

我們的安全代碼審查涵蓋部分開放網路應用程式安全計劃(OWASP)十大漏洞CWE/SANS前25大最危險的軟件錯誤。以下為部分檢查項目的列表:

插入弱點

SQL插入、OS指令插入及LDAP插入等網上應用系統威脅發生於用戶提供的數據作為指令或查詢的一部分發送至網上應用系統時。攻擊者的惡意負載可能會欺騙網上應用系統執行非預期的指令或在未經適當授權的情況下存取數據。

跨網址程式編程(XSS)

XSS漏洞發生於網上應用系統在未經適當確認及轉義的情況下接受用戶在網頁中提供的輸入時。跨網址程式編程允許攻擊者在受害者的瀏覽器執行手稿程式,導致劫持用戶對話、竄改網站或將用戶引領至惡意網站。

認證失效

認證及對話管理經常設計錯誤,允許電腦罪犯破解用戶憑證、密碼匙或對話權標,或利用其他弱點冒用其他用戶的身份。

敏感數據外泄

許多網上應用系統及API無法適當保護敏感資料,例如信用卡號、用戶憑證、患者資料等。電腦罪犯可能竊取或竄改此類保護不足的數據,以進行信用卡欺詐、身份竊取或其他犯罪行為。

XML外部處理器(XXE)漏洞

許多過時或配置較差的XML解析器在XML文件中對外部實體引用進行評估。攻擊者可利用外部實體竊取使用URI文件處理器的內部文件、共享內部文件、掃描內部連接埠、執行遠程代碼及實施拒絕服務攻擊。

存取控制失效

經常未能對通過認證的用戶實施適當的存取控制,這可能導致水平及垂直權限升級漏洞。攻擊者可以利用這些缺陷獲取未經授權的功能及資訊,例如接達其他用戶的帳戶、查看敏感文件、修改其他用戶的數據、更改存取權限等。

我們的安全代碼審查可輔以網上應用系統滲透測試,進行深入的漏洞偵測。

透過我們的服務您可以獲得什麼?

最終報告將載列所有調查結果,然後根據資訊科技和網絡安全國際標準對比優、缺點。我們會對識別的弱點進行評估,同時提出相應的建議和補救措施,並根據相關風險等級進行排序。向您匯報評估結果時,我們將對最終報告進行討論。報告包含對已執行的安全審計或滲透測試作出之全面、簡明的執行摘要。此外,報告將詳細闡述所有評估結果,並提供相應證據及未來安全措施建議。

Web Application Penetration Test Report

我們的網絡安全認證資質

威聯的安全顧問和滲透測試員均持有網絡安全和滲透測試行業最具含金量的資質證書,例如:SANS/GIAC GPEN、GWAPT、GCIH、GMOB、OSCP、CEH、CISSP、CISA等。

頁首