目前位置:問與答
 
  ▌問與答
 
 
【教育部網站應用程式弱點監測平台相關問題】

1. 教育部網站應用程式弱點監測平台的功用?

Ans :

教育部網站應用程式弱點監測平台主要提供 TANet 連線單位申請網站檢測服務,針對 SQL Injection 與 XSS 弱點,以自動化方式檢測申請單位轄下之網站,並產生掃瞄結果與修補建議報告,期能兼顧時效性與準確性,提升 TANet 資安防護水準。
另外,監測平台 ( 僅成大資通安全研發中心營運點 ) 會主動蒐集各網站淪陷資訊,即時將 .edu.tw 淪陷網站清單傳送給教育部,以利於後續通知、修補之工作。
 

2. 教育部網站應用程式弱點監測平台服務對象?

Ans :

教育部網站應用程式弱點監測平台主要之服務對象為 TANet 連線單位,只要各單位網站隸屬 TANet 連線單位皆可使用本監測平台之服務。
 

3. 教育部網站應用程式弱點監測平台有哪些檢測上之限制?

Ans :

 

(a). 只允許 TANet 連線單位申請使用服務。
(b). 僅提供申請單位進行所屬 ( 管轄 ) 網域內之網站檢測申請。
(c). 只針對 XSS 與 SQL Injection 弱點進行檢測。
(d). 無法對於後台頁面 ( 需登入動作才能進入 ) 進行檢測,此部分管理者需自行留意是否存在弱點。
(e). 需指定時段 ( 日間 06:00~18:00 ;夜間 18:01~05:59) 以進行檢測,若檢測時程超過指定時段,則系統將自行中斷。 ( 解決方式請參考檢測網站相關問題之 5) 。
(f). 監測平台對受測網站有設定時間限制 (Request Timeout) ,若超過時限 (30 分鐘 ) ,則跳過該筆 URL 檢測,以掌控檢測時程。
(g). 受測網站之應用程式中,若含有 Flash 架構或自訂 JavaScript 語法之 URL ,可能無法順利進行弱點檢測 ( 僅對於該筆 URL) 。

 

【申請使用相關問題】

1. 申請單位應由何種人員進行服務申請?

Ans :

由於本服務主要針對網站應用程式弱點進行檢測,因此建議各 TANet 連線單位應由負責網站維運或網站資訊安全之人員進行申請,而申請過程中所填寫之使用者資訊,應限於業務相關資訊,以便於日後負責人員承接之作業。

 

2. 為何要寄送檢測同意書?

Ans :

檢測網站前,需簽署檢測同意書,確認貴單位網站願接受教育部網站應用程式弱點監測平台針對轄下網站進行弱點檢測,並認可同意書中之說明事項。

 

3. 使用者是否能變更個人資訊?

Ans :

使用者可以登入平台自行變更修改 ( 帳號無法變更; E-Mail 則需向平台管理者聯繫,由管理者協助修改 ) 。

 

【網站檢測相關問題】

1. 為何帳號申請未通過?

Ans :

貴單位帳號審核未通過可能原因如下:
(a). 貴單位已申請帳號。 ( 目前單位僅開放申請一個帳號 )
(b). 使用者帳號聯絡資訊 ( 業務聯絡所在地或聯絡電話 ) 有誤。
需至監測平台重新申請,或與管理者聯絡。

 

2. 為何檢測網站申請未通過?

Ans :

貴單位受測網站審核未通過可能原因如下:
(a). 受測網址不在貴單位管轄範圍內。
(b). 受測網址填寫有誤。
需再次登入監測平台網站修改受測網站資訊,或與管理者聯絡。

 

3. 檢測網站資料是否可以變更?

Ans :

使用者可以登入監測平台,進入「網站維護」頁面,自行「新增」、「修改」及「刪除」檢測網站資訊。

 

4. 可否取消檢測排程?

Ans :

監測平台排程系統目前可接受取消離現在時間 2 日後之排程。

 

5. 檢測過程中,為何會發生中斷?該如何處置?

Ans :

監測平台檢測網站過程發生中斷,可能原因如下:
(a). 網站檢測工作無法在預定時程內完成檢測。
(b). 連線受測網站時,發生問題 ( 請檢查貴單位網站是否正常運作 ) 。
(c). 監測平台運作發生問題。
請再次登入監測平台設定網站檢測排程時間。若您重複遇到此問題,請與管理者聯絡。