模擬駭客 展開入侵

捕夢網弱點掃描模仿駭客入侵行為,採取不同攻擊模式,針對不同的目地,找出各自的漏洞掃描過程中不會影響網站效能表現,請客戶放心。

  • 針對資料庫竊取資料,例如用戶個資、信用卡號、交易訂單!
    1. Blind SQL Injection

      因為程式設計不良,誤把惡意夾帶的文字當作SQL指令執行

    2. Weak Passwords

      網站的密碼進行檢查,限制是否過於寬鬆,導致密碼容易被猜中 現在密碼需要英數大小寫混合,並輸入驗證碼,即是因應對策

  • 針對網站程式入侵破壞網站,植入木馬程式,成為殭屍網站!
    1. Web Applications

      檢查架站常用的軟體,如Wordpress、Joomla等。 此類軟體為開放原始碼(Open Source)軟體,常成為駭客覬覦的對象

    2. File Upload

      檢查上傳表單程式的漏洞,例如社群網站要使用者上傳大頭照,是否有限制只能上傳圖檔格式。如沒有限制,駭客可上傳惡意檔案。

  • 針對網站連線透過連線系統,假造封包攻擊網站,導至釣魚網站
    1. CSRF(cross-site request forgery)

      使用者在不知情的情況透過瀏覽器攻擊目標網站,例如濫發郵件,甚至轉帳或購買商品

    2. Network Scripts

      檢查網路安全。像是惡意造假DNS封包,引導訪客連錯誤網站,telnet暴力破解密碼

  • 其他入侵其他駭客常見攻擊的手段,抵禦其他範圍
    1. Directory and file checks

      檢查一些像是text search備份檔目錄 目錄清單等

    2. GHDB(Google Hacking Database)

      駭客利用Google找尋獵物。於是Google建立一套指令資料庫 (database of queries),辨識網站是否容易受到這些指令的攻擊

完成掃描 提出建議

捕夢網完成網站弱點掃描之後,由專業工程師針對報告指出的漏洞提出修改建議, 讓客戶確實明白如何修正網站

  • 跨網站指令碼入侵

    駭客可藉由此漏洞將惡意程式碼放置在網頁中,使用者觀看網頁時,盜取使用者資訊,並進階攻擊其他網站或是濫發垃圾信

  • 網頁錯誤訊息入侵

    出現此錯誤訊息表示網站可能會洩露網站使用者隱私資訊,並且被用於引發進一步的攻擊,例如竊取管理者權限/盜用個資/盜用個資

  • HTML 跨網站請求偽造攻擊

    駭客在使用者不知情之下,藉由使用者的使用行為攻擊網站。如果駭客最終的目標是管理權限,將可能危害整個網站安全

  • 使用者資料未經加密傳輸

    駭客可以透過攔截未加密的HTTP連線,從中竊取使用者傳輸的資料內容

  • 網站程式原始碼曝漏

    駭客可以不需要經過驗證直接讀取原始碼,並藉此得到使用者隱私資訊,甚至可以攻擊原始碼漏洞,進一步癱瘓網站

  • 網站程式碼路徑挖掘

    出現此錯誤訊息表示網站可能會洩露網站使用者隱私資訊,並洩漏資料庫的所在路徑,等同資料庫不設防

  • 捕夢網客戶10,000 元 / 次

    租用捕夢網「虛擬主機」、「實體主機」及「雲端主機」或是主機委由捕夢網代管的用戶

  • 非捕夢網客戶20,000 元 / 次

    未租用捕夢網任何形式主機服務的用戶

非捕夢網客戶指網站主機寄放於其他主機服務商的客戶。弱點掃描:是模擬駭客入侵的手法,攻擊客戶網站掃瞄過程中,可能會被其他主機服務商視為正式攻擊,進而阻擋甚至封鎖IP。因此難度較高,上方所標示的費用僅包含單次弱點掃描,如需專業工程建議之服務,請洽詢業務部報價。