注入式攻擊是最古老的、部署最廣泛的 Web 攻擊之一，94% 的應用程式易受攻擊，之前獨立排名的跨站腳本(XSS)也被合併到了注入式攻擊中。在注入式攻擊中，駭客將惡意代碼注入系統以啟動未經授權的命令來取得敏感數據。注入式攻擊的列表很長，包括 SQL 注入、跨站點腳本 (XSS)、模板注入、XPath 注入、電子郵件標頭注入、shell 注入等。

預防： 為防止注入式攻擊，軟體開發人員應取消用戶提供的密碼輸入，並用行動 OTP（政府系統，銀行皆已廣泛使用）、生物識別身份驗證、下拉式選項和使用第三方支付平台來取代。
事實上，這聽起來可能很簡單，但對企業來說都很難實施。因此，另一種 更方便的方法是使用 Web 應用程式防火牆 (WAF) 。 Penta Security 的 WAF 產品 WAPPLES 是使用 AI邏輯檢測引擎來分析 HTTP 和 HTTPS 流量內容，保護您的 Web應用程式、API 和行動 APP，避免遭受惡意攻擊。

不安全設計是 2021 年列表中新增的一項，定義了與應用程式設計缺陷相關的風險。這些不一定是設計錯誤，而只是有心人士可利用了能造成損害的漏洞。而這和不安全的配置卻相混淆。舉個簡單的例子；網站允許前 1,000 名獨立訪問者獲得折扣。有心人士卻使用不同的 IP 位置購買多種打折產品並轉售以獲取收益。

預防： 建議軟體開發人員使用安全的設計模組和參考架構來構建應用程式。企業應該存儲這些安全模組和參考數據庫以備將來使用，在最終確定設計之前對應用程式執行威脅模式和滲透測試。

這是 2021 年版本全新的類別，軟體及資料完整性失效是由於缺乏資料完整性驗證過程而使用篡改或損壞的資料做出某些決定的狀況。例如，駭客使用惡意軟體去破壞軟體更新文件，而應用程式會自動安裝更新，而無需驗證文件是否為原始文件。這是影響全球數萬組織 SolarWinds供應鏈攻擊事件 的主要原因。

預防： 為了防止資料損壞，建議使用 PKI憑證的驗證機制來確定資料的真實性和完整性。
對任何代碼或配置變更進行驗證的過程也很重要，可確保外部人員無法修改代碼而將惡意軟體引入系統。

儘管知道風險，但對於許多企業組織來說，透過執行對策並持續追蹤和管理這十個 Web應用程式風險可能會讓人不知所措。而 Penta Security 的 WAPPLES 第三代 Web應用程式防火牆 (WAF) 使防禦 OWASP Top 10 變得比以往更加容易 。

與市場上大多數 WAF不同， WAPPLES 的專利 COCEP ^TM 邏輯檢測引擎是以檢測規則的演算運行，而不仰賴大量的電子簽章資料庫，能夠檢測 Web 應用程式和 API 的各種已知攻擊和 零日漏洞的侵害 ，同時實現接近零的誤報率。

如果您想了解公司數據資料面臨”數據暴露”的風險有多高，歡迎與赫盟資訊聯絡。
我們將會安排專業工程師，搭配韓國最大的信息安全提供商所開發的 WAPPLES ，
為您企業的IT系統做一個檢測並評估其風險值。

O-SCAN 網站弱點掃描系統 是一套全自動化網站弱點偵測工具，掃描引擎穩定，操作直覺簡單，全中文弱點報告、
弱點描述與操作介面，使用起來更具親和力。O-SCAN 為華人市場使用人數最多的一套網站弱點掃瞄系統，是台灣
網站弱點掃描系統的領導品牌。

O-scan 功能規格：

• 智慧網站結構分析，完整的列出網站伺服器檔案與目錄結構

• 支援多使用者管理，不同使用者不可操作它人掃描工作

• 可錄製 Web 應用程式登入步驟，並在之後掃描時重複使用

• 批次報告產出，可一次產生指定目錄下掃描檔報告

• 具有詳細掃描報告與掃描差異報告

• 具有OWASP Top 10 遵循報告(2013/2017/2021)

• 報表可列印與輸出PDF、HTML、RTF 格式檔案

• 具有定時排程、多網站掃描功能

• 具有自動密碼輸入功能

• 具備系統網頁伺服器軟體弱點偵測功能

• 具備系統CGI 軟體弱點偵測功能

• 援主要的網頁技術，如PHP, JSP, ASP, ASP .NET, Coldfusion.... 等