Tenable
Web App Scanning

常見問題

什麼是 Tenable Web App Scanning？

Tenable Web App Scanning 是一種動態應用程式安全測試 (DAST) 應用程式。 DAST 會透過前端深入執行中的 Web 應用程式，建立一個網站地圖，將所有的網頁、連結和表單納入其中以進行測試。一旦 DAST 建立好網站地圖，它就會透過前端調查網站，確認應用程式自訂程式碼中是否有任何弱點，或是組成該應用程式主體的第三方元件中是否有任何已知弱點。

Tenable Web App Scanning 可分辨哪些種類的弱點？

Tenable Web App Scanning 可分辨 OWASP 10 大弱點，如自訂應用程式碼中的跨網站指令碼 (XSS) 以及 SQL 注入攻擊，還有貴公司網站上執行的易受攻擊之第三方元件版本。 若要確保在新型 Web 應用程式中涵蓋全面的弱點偵測，就必須辨識這兩種弱點。

Tenable Web App Scanning 可以分辨錯誤組態或憑證問題嗎？

可以，您可以使用 Tenable Web App Scanning 透過預先定義的掃描範本，在 2 分鐘內辨識 Web 應用程式中的各種網路安全機制問題。 SSL/TLS 掃描範本會檢查是否有不當核發或即將到期的 SSL/TLS 憑證，這樣可讓使用者避開浪費時間且令人尷尬的瀏覽器警示訊息與重新導向。組態稽核掃描範本會檢查伺服器端是否有許多錯誤組態，使得 Web 應用程式容易遭駭客進行偵察活動或容易遭到攔截式攻擊。

我可以量身訂做 Tenable Web App Scanning 使用者能夠存取的資訊嗎？

沒錯，Tenable Web App Scanning 的存取控制以角色作為依據。 管理員可以選擇建立使用者群組，並指派每次掃描時使用者檢視以及啟動掃描的權限。使用者只能看到與自身相關的掃描資料，這些資料可讓他們更輕而易舉地瞭解該著重哪些地方，以及哪些弱點必須率先修復。

我可以在 Tenable Web App Scanning 中建立自訂報告嗎？

沒錯，使用 Tenable Web App Scanning 可建立符合使用者報告需求的各式儀表板。 內建的高階主管報告功能可讓業務利害關係人隨時得知團隊的修復進度，而不會被繁瑣的技術性資料弄得暈頭轉向。Tenable Web App Scanning 也可讓使用者建立完全自訂的掃描資料儀表板，藉此追蹤與其團隊相關的指標。 Tenable Vulnerability Management 和 Tenable Web App Scanning 使用者也可以建立完全整合的儀表板，集合所有 IT、雲端和 Web 應用程式弱點，利用統一的能見度掌握所有攻擊破綻。

Tenable Web App Scanning 可以掃描單一頁面應用程式嗎？

沒錯，Tenable Web App Scanning 能掃描新型的 Web 應用程式，包括單一頁面應用程式。 縱使沒有任何掃描工具能 100% 保證完全涵蓋所有類型的應用程式及弱點，Tenable Web App Scanning 卻可深入掃描多數最常使用的單一頁面應用程式架構。

Tenable Web App Scanning 新增弱點偵測的頻率如何？

Tenable 的世界級研究團隊研發了 Tenable Web App Scanning。 Tenable Research 會不斷地分析弱點與威脅態勢，並在發現新的安全問題時新增第三方元件的偵測功能與自訂程式碼弱點偵測。

可以使用 Tenable Web App Scanning 進行程式碼審查嗎？

否。Tenable Web App Scanning 是一種動態應用程式安全測試 (DAST) 工具，其用途是測試執行中的應用程式，無法執行靜態審查程式碼。 靜態應用程式安全測試 (SAST) 工具才能進行程式碼審查的工作。