网健通 | Hong Kong Internet Registration Corporation Limited
网站扫描

网健通

2023-06-16

网站健康 网健通行无阻

介绍:

HKIRC 一直非常重视.hk用户的互联网安全。为提升.hk用户的网站安全,HKIRC现已推出全新的网站安全健康检查服务 “网健通”。”网健通”将根据OWASP的十大常见的网络应用系统安全弱点,协助.hk用户寻找其网站安全的配置情况。 如发现任何不良的设定,例如网站应用程式使用失效的安全设定或使用易受攻击的网站伺服器等、 HKIRC会通知用户了解其网站的潜在风险并采取适当防御措施,加强保护意识。

网站潜在的网络安全风险:

  • Insecure data transfer 不安全的资料传输
    网站使用不安全的HTTP(超文本传输协议)会以明文形式传送数据,而不是使用HTTPS(安全超文本传输协议)以加密形式传送数据。HTTPS提供安全的数据传输,防止数据被截取和未经授权的访问。 处理敏感资料的网站需要使用HTTPS以确保使用者的隐私并防止网络攻击。
  • Poor Cookie setting 不恰当的Cookie设置
    网站伺服器上的Cookie正确设定应该包括将Cookie设置为”secure”和”httpOnly”,以防止XSS和CSRF攻击,确保敏感数据的安全传输,并符合数据保护法规。
    相关新闻: Hackers Steal Session Cookies to Bypass Multi-factor Authentication
  • Disclosing Server version 公開伺服器版本
    揭露网站伺服器版本可帮助攻击者识别漏洞并发起有针对性的攻击。混淆或隐藏版本是一种常见的安全做法,以减少未经授权的访问和数据泄露的风险。
  • Information Disclosure 資訊洩漏
    资讯泄漏可引致攻击者利用已泄漏的资讯来发动网路攻击。通常资讯可包括敏感资料、使用者名称、密码和系统的错误处理信息等,可危及系统安全。
    相关新闻: SAP’s February 2023 Security Updates Patch High-Severity Vulnerabilities
  • Improper Website Configuration 不恰當的網站配置
    不恰当网站配置是指未能优化安全性、隐私性和性能上的设置。这包括配置错误、第三方script的问题和过期或有漏洞的JS库。适当的网站配置对于防范网络威胁、确保可靠性并符合法律标准至关重要。
    相关新闻: Fortnite Flaws Allowed Hackers to Takeover Gamers’ Accounts

为何需要参加”网健通”:

  • 通过查看网站的公开披露信息,可以全面了解网站的安全状况。以便对网站进行持续控制和态势感知
  • 指出可能存在并危及网站的潜在漏洞,获得事先提醒和及时处理
  • 发现网站是否存在任何配置错误的应用程序设置,减少严重安全威胁的风险
  • 检查默认配置设置和应用程序设置是否存在缺陷,减轻危及应用程序的安全性和保护用户的隐私
  • 提高保护网站的意识。建立最佳做法和意识,并持续监控自己网站的安全状态

评估过程:

  • 过程不会影响网站的运行,更无需更改任何设置或密码
  • 从公共伺服器获取请求信息及相关背景资料,如预览网站的标头(HTML header)、网站的响应(HTML response)、cookie和时间等公共信息。
  • 整个过程将使用非侵入性的评估方法,从而评估网站的安全性并找出弱点。并提供 简洁易明的报告,就用户如何采用最佳实践和改善网站的安全提出建议。

参加资格:

  • 所有.hk域名用戶

如何参与:

成功案例:

  • 主动提醒”.hk “用户警惕潜在的网站风险
  • 定期或持续进行网站检查
  • 提供简明扼要的报告,帮助用户轻松了解网站风险
  • 提高用户的网站安全意识

个案分享:

资讯科技教育领袖协会 AiTLE

资讯科技教育领袖协会(AiTLE)是由香港中小学负责资讯科技教育的资讯科技统筹员/教师及电脑科教师组成的组织。AiTLE定期邀请专家举办各种安全研讨会,以提高其成员的网络安全意识。它是首批受邀参与”网健通”的组织之一。

>> AiTLE

常见问题

  1. 什么是”网健通”?
    “网健通”是一个网站安全检查服务,使用非入侵性的工具评估网站的健康状况,将搜寻网站中的缺陷和漏洞、 分析可能存在的偏差,并提供改进和加强防护的建议。
  2. 为什么我会被加入”网健通”的计划?
    “网健通”是.hk用户其中一项会员福利,不须额外登记
  3. “网健通”的整体流程?
    评估使用一种简单快速的方法从公共伺服器上读取请求信息和后台信息,预览网页的标头(html header)、网站的响应(html response)、cookie和时间等公共信息。 用户可以按照以下步骤自行获取相似的结果:

a. 可在三种常见的浏览器中(如Google Chrome、Microsoft Edge和Firefox)以按下F12或Ctrl+Shift+I打开DevTools
b. 点击网络选项并刷新页面以获取响应标头(response header)
c. 进入第一行以查看响应标头(response header)中的配置

  1. “网健通”与“免费网站安全扫描服务”的分别?
    免费网站安全扫描服务将直接向特定网站查询或发送数据包(Packet),而”网健通”的过程则是非入侵性,用于读取响应标头(response header),例如HTTP响应标头(response header)。
  2. 如果对收到的报告有任何疑惑,可以联络HKIRC吗?
    当然可以!用户可以透过电邮或电话向我们查询任何关于报告的问题,我们亦额外提供免费的电话咨询服务。如果需要对网站进行更深入的评估服务,请点击这里申请免费网站安全扫描服务。
  3. 如果我不希望使用”网健通”服务,会有什么影响吗?
    可能无法发现任何潜在漏洞和网络设置错误等。增加网站未知风险的几率。

查询:

电邮: cybersec@hkirc.hk
地址: 香港数码港道100号数码港3座C区5楼501室

免责声明: “网健通”是由香港互联网注册管理有限公司(HKIRC)提供的一项远程网站检查服务。此服务的目的是协助”.hk “用户检讨其网站的保安技术。 按此了解更多详情。