開發中
SecScan 弱點檢測
上線前找出安全弱點的自動化檢測
資安工具
SecScan 弱點檢測
功能特色
自動化弱點掃描
涵蓋常見注入、認證授權缺失與設定不當等風險。
風險分級報告
依嚴重度排序,附重現步驟與具體修補建議。
授權範圍控管
僅於書面授權範圍內執行,遵循責任揭露原則。
示範報告
檢測報告長什麼樣
以下是對自建測試靶站的示範檢測報告,展示我們交付報告的嚴謹度:範圍、方法、弱點分級、重現步驟與修補建議。
開發中
示範報告(對自建測試靶站,非真實客戶)。SecScan 目前開發中、可加入等候名單,且僅在書面授權範圍內執行。
- 靶站
- demo.testbed.local
- 範圍
- 單一 Web 應用 · 42 條路由
- 方法
- 自動掃描 + 人工複驗
- HIGH缺少 Content-Security-Policy 標頭
resp: no content-security-policy
重現 回應標頭未帶 CSP,注入的腳本沒有來源邊界限制。
修補 設定嚴格的 CSP,限制 script-src 與外部來源。
- MEDIUMSession cookie 未設 Secure 旗標
set-cookie: sid=… (no Secure)
重現 set-cookie 未帶 Secure,cookie 可能經明文連線外洩。
修補 為 session cookie 加上 Secure 與 HttpOnly 屬性。
- LOW伺服器 banner 洩漏版本
server: nginx/1.18.0
重現 Server 標頭揭露 nginx 版本,利於攻擊者比對已知漏洞。
修補 移除或遮蔽 Server 版本資訊。
使用情境
SecScan 適合在系統上線或改版前做一次安全體檢,或於客戶、稽核要求時提供檢測報告。檢測僅於系統所有權人書面授權後執行。
本產品目前為開發中,歡迎洽詢導入時程與試用安排。
常見問題
- 檢測需要授權嗎?
- 需要。必須取得系統所有權人的書面授權並確認範圍,我們不承接未經授權的測試。