網健通 | Hong Kong Internet Registration Corporation Limited
網站掃描

網健通

2023-06-16

網站健康 網健通行無阻

介紹:

HKIRC 一直非常重視.hk用戶的互聯網安全。為提升.hk用戶的網站安全,HKIRC現已推出全新的網站安全健康檢查服務 “網健通”。”網健通”將根據OWASP的十大常見的網絡應用系統安全弱點,協助.hk用戶尋找其網站安全的配置情況。 如發現任何不良的設定,例如網站應用程式使用失效的安全設定或使用易受攻擊的網站伺服器等、 HKIRC會通知用戶了解其網站的潛在風險並採取適當防禦措施,加強保護意識。

網站潛在的網絡安全風險:

  • Insecure data transfer 不安全的資料傳輸
    使用不安全的HTTP(超文本傳輸協議)以明文形式傳送數據,而不是使用HTTPS(安全超文本傳輸協議)以加密形式傳送數據。HTTPS提供安全的數據傳輸,防止數據被截取和未經授權的訪問。 處理敏感資料的網站需要使用HTTPS以確保使用者的隱私並防止網絡攻擊。
  • Poor Cookie setting 不恰當的Cookie設置
    網站伺服器上的Cookie正確設定應該包括將Cookie設置為”secure”和”httpOnly”,以防止XSS和CSRF攻擊,確保敏感數據的安全傳輸,並符合數據保護法規。
    相關新聞: Hackers Steal Session Cookies to Bypass Multi-factor Authentication
  • Disclosing Server version 公開伺服器版本
    揭露網站伺服器版本可幫助攻擊者識別漏洞並發起有針對性的攻擊。混淆或隱藏版本是一種常見的安全做法,以減少未經授權的訪問和數據泄露的風險。
  • Information Disclosure 資訊洩漏
    資訊洩漏可引致攻擊者利用已洩漏的資訊來發動網路攻擊。通常資訊可包括敏感資料、使用者名稱、密碼和系統的錯誤處理信息等,可危及系統安全。
    相關新聞: SAP’s February 2023 Security Updates Patch High-Severity Vulnerabilities
  • Improper Website Configuration 不恰當的網站配置
    不恰當網站配置是指未能優化安全性、隱私性和性能上的設置。這包括配置錯誤、第三方script的問題和過期或有漏洞的JS庫。適當的網頁配置對於防範網絡威脅、確保可靠性並符合法律標準至關重要。
    相關新聞: Fortnite Flaws Allowed Hackers to Takeover Gamers’ Accounts

為何需要參加”網健通”:

  • 通過查看網站的公開披露信息,可以全面瞭解網站的安全狀況。以便對網站進行持續控制和態勢感知
  • 指出可能存在並危及網站的潛在漏洞,獲得事先提醒和及時處理
  • 發現網站是否存在任何配置錯誤的應用程序設置,減少嚴重安全威脅的風險
  • 檢查默認配置設置和應用程序設置是否存在缺陷,減輕危及應用程序的安全性和保護用戶的隱私
  • 提高保護網站的意識。建立最佳做法和意識,並持續監控自己網站的安全狀態

評估過程:

  • 過程不會影響網站的運行,更無需更改任何設置或密碼
  • 從公共伺服器獲取請求信息及相關背景資料,如預覽網站的標頭(HTML header)、網站的響應(HTML response)、cookie和時間等公共信息。
  • 整個過程將使用非侵入性的評估方法,從而評估網站的安全性並找出弱點。並提供 簡潔易明的報告 ,就用戶如何採用最佳實踐和改善網站的安全提出建議。

參加資格:

  • 所有.hk域名用戶

如何參與:

成功案例:

  • 主動提醒”.hk “用戶警惕潛在的網站風險
  • 定期或持續進行網站檢查
  • 提供簡明扼要的報告,幫助用戶輕鬆瞭解網站風險
  • 提高用戶的網站安全意識

個案分享:

資訊科技教育領袖協會 AiTLE

資訊科技教育領袖協會(AiTLE)是由香港中小學負責資訊科技教育的資訊科技統籌員/教師及電腦科教師組成的組織。AiTLE定期邀請專家舉辦各種安全研討會,以提高其成員的網絡安全意識。它是首批受邀參與”網健通”的組織之一。

>> AiTLE

常見問題

  1. 什麼是”網健通”?
    “網健通”是一個網站安全檢查服務,使用非入侵性的工具評估網站的健康狀況,將搜尋網站中的缺陷和漏洞、 分析可能存在的偏差,並提供改進和加強防護的建議。
  2. 為什麼我會被加入”網健通”的計劃?
    “網健通”是.hk用戶其中一項會員福利,不須額外登記
  3. “網健通”的整體流程?
    評估使用一種簡單快速的方法從公共伺服器上讀取請求信息和後台信息,預覽網頁的標頭(html header)、網站的響應(html response)、cookie和時間等公共信息。 用戶可以按照以下步驟自行獲取相似的結果:

a. 可在三種常見的瀏覽器中(如Google Chrome、Microsoft Edge和Firefox)以按下F12或Ctrl+Shift+I打開DevTools
b. 點擊網絡選項並刷新頁面以獲取響應標頭(response header)
c. 進入第一行以查看響應標頭(response header)中的配置

  1. “網健通”與“免費網站安全掃描服務”的分別?
    免費網站安全掃描服務將直接向特定網站查詢或發送數據包(Packet),而”網健通”的過程則是非入侵性,用於讀取響應標頭(response header),例如HTTP響應標頭(response header)。
  2. 如果對收到的報告有任何疑惑,可以聯絡HKIRC嗎?
    當然可以!用戶可以透過電郵或電話向我們查詢任何關於報告的問題,我們亦額外提供免費的電話諮詢服務。如果需要對網站進行更深入的評估服務,請點擊這裡申請免費網站安全掃描服務。
  3. 如果我不希望使用”網健通”服務,會有什麼影響嗎?
    可能無法發現任何潛在漏洞和網絡設置錯誤等。增加網站未知風險的幾率。

查詢:

電郵: cybersec@hkirc.hk
地址: 香港數碼港道100號數碼港3座C區5樓501室

免責聲明: “網健通”是由香港互聯網註冊管理有限公司(HKIRC)提供的一項遠程網站檢查服務。此服務的目的是協助”.hk “用戶檢討其網站的保安技術。 按此瞭解更多詳情。