網站安全自動化檢測工具紛問世

Web 2.0是目前企業最熱門的字眼，但是一些研究卻指出70％的網站都是不安全的。為了要確保企業網站的安全，除了以人工檢視原始碼，目前臺灣已有自動化的程式碼檢測工具。此外，在滲透測試服務方面，亦有業者引進了自動化的網路弱點掃描工具。

根據網站安全公司Acunetix的研究，平均有91％的網站都具有某種型式的網站安全問題，包括SQL Injection（隱碼攻擊）或跨站攻擊（Cross Site Scripting，XSS）在內。為了杜絕網站資料庫因為漏洞遭駭客入侵，導致相關機密資料被竊取，甚至整個網站被癱瘓，一行行檢視網頁程式的安全性和漏洞，是以往大型企業為了確保網站安全而最常採用的方式。但人工檢視原始碼的方式，不僅耗時且成本相當昂貴，若不是重要或大型系統，企業往往不願意負擔這樣的費用。這種檢測方式，稱之為白箱測試。

除了耗時且貴的人工源碼檢測外，國內已有廠商推出自動源碼檢測工具。技術源自於中研院的阿碼科技，該公司創辦人兼執行長黃耀文表示，以往企業預防網頁程式軟體漏洞，多是採用外圍防堵方式，包括架設防火牆、IDS（入侵偵測系統）或是IPS（入侵防禦系統），若能從根本的網頁程式語言上，事前進行安全漏洞的修補，將比仰賴外部的硬體防護設置更方便。

因此，阿碼科技除了在2006年8月推出PHP版的自動源碼檢測工具外，也於今年1月底推出Java版的自動源碼檢測工具。因為自動源碼檢測工具CodeSecure可以檢測網站原始碼，找出漏洞位置（源碼行）並提供修補建議，黃耀文說，「因為不需要將還在開發測試中的程式上線即可檢測，適合應用程式和資料不斷更新的大型網站或中小企業使用，也可作為軟體委外開發的安全檢測標準。」

以各種攻擊手法找出網站漏洞的方式，稱之為滲透測試，則是一種黑箱測試方式。以往國內政府部門經常透過滲透測試方式，檢視網站的安全性，但人工進行滲透測試方式，同樣面臨耗時且貴的問題。目前已經有弱點掃描的自動化工具，能取代人工滲透測試功能。

數聯資安總經理張肇榮表示，該公司此次引進市占第一名網路弱點掃描工具Watchfire Web Appscan，並成為臺灣區總代理，主要是針對網頁應用程式進行掃描，交叉比對掃描結果，找出網頁應用程式的安全弱點，並提出企業修補Web應用程式漏洞的建議，以降低機密資料外洩的風險。文⊙黃彥棻