靜德即日起提供網站安全測試服務
測試內容包含Owasp 2007 年度 Top 10的部分

2007年Top 10內容簡介:

1. Cross-Site Scripting：中文翻譯為跨站腳本攻擊。Web應用程式直接將來自使用者的執行請求送回瀏覽器執行，使得攻擊者可擷取使用者的Cookie或Session資料而能直接登入成使用者

2. Injection Flaw：Web應用程式執行來自外部包括資料庫在內的惡意指令，SQL Injection, Command Injection等攻擊包括在內

3. Malicious File Execution：Web應用程式引入來自外部的惡意檔案並執行檔案內容

4. Insecure Direct Object Reference：攻擊者利用Web應用程式本身的檔案讀取功能任意存取檔案或重要資料，案例包括http://example/read.php?file=../../../../../../../c:\boot.ini

5. Cross-Site Request Forgery (CSRF): 已登入Web應用程式的合法使用者執行到惡意的HTTP指令，但Web應用程式卻當成合法需求處理，使得惡意指令被正常執行，案例包括社交網站分享的QuickTime、Flash影片中藏有惡意的HTTP請求

6. Information Leakage and Improper Error Handling：Web應用程式的執行錯誤訊息包含敏感資料，案例包括:系統檔案路徑

7. Broken Authentication and Session Management：Web應用程式中自行撰寫的身份驗證相關功能有缺陷

8. Insecure Cryptographic Storage：Web應用程式沒有對敏感性資料使用加密、使用較弱的加密演算法或將金鑰儲存於容易被取得之處

9. Insecure Communication：沒有在傳送敏感性資料時使用HTTPS或其他加密方式

10. Failure to Restrict URL Access：某些網頁因為沒有權限控制，使得攻擊者可透過網址直接存取，案例包括允許直接修改Wiki或Blog網頁內容