弱扫是什么？关于弱扫的五个小知识

「XXX近日遭黑客攻击，造成数万个人信息流出，目前正......」

身为金融从业人员、购物网站主、政府机关人员，这样的标题是不是让你胆战心惊呢？ 今天要讨论的主题就是在网站上线前，能让您防患胜于未然的「网站弱扫」。

前言 — 弱扫是什么？

弱扫其实是「弱点扫描 Vulnerability Assessment」的缩写，概念就像是给网站打的疫苗。

利用工具，侦测网站的弱点，再将网站的各个角落进行风险级别分类，进而通过修缮这些弱点，加强网站的保护屏障。

在了解弱扫是什么之后，我们相信你心中还是有一些疑惑，为了解答这些疑惑，接下来的文章，将会以一边补充背景知识，一边整理问题的方式呈现：

知识一、弱扫的进行步骤

以浪知潮为例，假如委托浪知潮进行弱扫，会经历以下五个步骤：

1.远程弱扫开始

通常网络公司人员会使用远程工具，不必到客户身边，也能透过IT设定开始弱扫，弱扫的进行通常会维持一天左右。

这时候，许多客户会有疑惑：

Q1：这一天的弱扫，会影响用户吗？

答案是99%不会。

弱扫工具有很多种，有些工具会主动攻击网站，测试网站承受度，但不会把网站攻击到无法正常运作的程度，有些则是会使得网站新增许多“脏”信息，基本上，以上状况都不影响网站的使用。

2.弱扫结束，产出报告

报告分成两个，第一个报告的内容为此网站中低、中、高风险存在位置分析，由弱扫工具提供。 第二份则是由网络公司整理第一份报告内容，加上相对应的解法与报价组成，这一份才是客户真正会看到的报告。

Q2：客户不能直接看第一份报告吗？

其实可以。

但就如同去医院照X光，照片出来了，但是没有专业人员解说，一般人可能很难理解身体究竟出了什么问题，更别说是治疗了。

3.针对报告中要修复的内容双方进行协商、报价

若您在收到报告后，对解法或报价有疑惑、感到不满意，例如，想要将该高风险项目在更进步变得更稳固，或某些地方暂时不用修，都可以在此阶段提出，与网络公司协商、议价。

4.协商完成，开始修网站

协商完成，网络公司在收到回签的报价单后，即会开始安排工程师进行维修。

5.修完再扫，产出修正说明报告

维修完成后，会再进行一次弱扫，确认此次维修部分已完成，再出具此次修正说明报告供客户留存。

知识二、弱扫的频率

这个频率没有固定答案，但是会造成影响的因素有以下两点：

1.依据法规

依据资通安全管理法及子法规定，公务机关与特定非公务机关的资通安全责任层级从A至E共分为五级，依据层级，弱扫需一至两年进行乙次，配合其他资安相关措施，详情可以点这边看法规。

2.该公司对资安的重视程度

以浪知潮经验而言，一般情况下，一个网站最少一年应进行一次弱扫，每年更新屏障，避免新型态黑客。 我们也有遇过非常重视资安的客户，要求必须每月或甚至每周进行弱扫。

知识三、弱扫与中病毒的关系

再以疫苗举例一次，打完疫苗之后仍有染疫风险，弱扫仅能帮助你「加强防御，降低风险」，但仍无法完全避免黑客的恶意攻击。

Q3：既然弱扫无法完全避免攻击，有什么更有效的方式吗？

还有一种安全测试方式，常常跟弱扫一起被提起——「渗透测试」。

相较半自动的弱点扫描，渗透测试的操作方式更为人工、复杂，以真人操作模拟黑客思维来攻击网站，更直接、有效率的抓出网站的弱点，但因为人工运行，无法大规模操作，较耗时也耗人力。

知识四、常用的弱扫工具

浪知潮最常使用的弱扫工具是「OWASP ZAP」。

OWASP是「Open Web Application Security Project」的缩写，白话文就是开放网络软件安全计画，由Mark Curphey 2001年于美国创立，是为在网络安全领域，替大众提供免费的文章、工具和技术等资源的非营利组织，其中，OWASP推出的弱扫工具ZAP，在世界各地也颇受欢迎，可以在OWASP官网 免费下载，并有中文界面可以切换。

其他常见的工具还有SonarQube、PumaScan、Nessus、DVM等。

知识五、弱扫收费机制

如果请网络公司协助弱扫，费用的收取方式会有两种。

第一种、在网站建设签约时

如果网站在建设时就明确有弱扫需求，那么网络公司就会在网站建设的合约中一并计算入弱扫费用。

第二种、单次收费

这种状况大多出现在网站已建设完成，定期弱扫时，也就是知识一的五个步骤。

另外，如果客户有指定使用的弱扫工具，是网络公司没有接触过的付费工具，那就可能需要额外收取开通此工具的费用，具体细节因公司、工具而易，因此请以实际合约为准。

总结

很客户会问：所有网站都需要弱扫吗？

与政府部门相关的网站规定最严格，「必须」定期进行弱扫，除此之外的网站，就取决于网站主对于安全的重视程度了，可能一年、半年、一个月进行一次弱扫，

我们认为不论网站大小与内容，为了防止被破坏，为了守护网站的正常运行，都建议定期弱扫或进行其他安全检测，来保护网站与访问者的信息安全喔！