经由扫瞄网站伺服器，可以发现哪些问题

常用网站伺服器大多分为二大类，当然就是大家最广为熟知的微软家族（Microsoft Internet Information Services）与UNIX类家族(Apache)，与其他类型服务，如∶BEA WebLogic Server / Oracle Application Server / Biztalk Server┅..等等，

以下为常见可经由网路型弱点评估系统(Network Secure Scanner）可扫瞄出相关网站攻击型态∶

作业系统与相关服务弱点
由於网站服务基本上皆建置於MicroSoft/UNIX like作业系统平台。故扫瞄时，当然也将会对於网站伺服器平台，进行扫瞄检测。
SQL Injection
资料库查询植入攻击，最主要是发生於远端攻击者，利用字元检查漏洞进行攻击，忽略检查後入侵，进而可使用资料库语法，恶意修改或删除後端资料库的资料，影响网站的正常营运。
Cross-Site Scripting
跨网站式攻击，攻击者可以由远端送出恶意指令（HTML/JavaScript┅）利用网站传送字元检查的漏洞，执行跨网站式攻击执行恶意Script，并可欺骗WEB Server取得敏感资料。
Information Disclosure
转向处理资讯，恶意攻击者可利用浏览器或是通讯协定的驱动程式，存在未检查的缓冲区弱点，由远端发出恶意封包来读取缓冲区资料或是主机环境变数资料。
Buffer Overflow
缓冲区溢位弱点，远端攻击者能轻易阻断受害者浏览器或是影响正常服务执行，并可取得受害者电脑权限，进而遭受控制。
Restriction Bypass
略过限制弱点，主要为如PHP等网页语言中，某些版本对於安全性限制不完善，恶意攻击者可透过此漏洞，漏过限制检查而取得主机权限。
Function Code Execution
函数执行程式码弱点，恶意攻击者可以透过函数输入检查弱点，造成系统判断异常，提升权限执行任何恶意程式码。
Remote Code Execution
远端命令执行弱点，可经由函数或是浏览方式远端取得网站服务主机权限，使恶意攻击者可执行受害者主机任何程式。
Elevated Object Access
元件权限提升弱点，远端恶意攻击者可透过多种权限提升相关弱点，取得受害主机更高权限进而取得控制。
Modification DoS┅┅┅
阻断服务弱点，本弱点大多是藉大量对网站主机提出服务请求，或系统与服务组态本身设定不当与恶意网页放置，影响网站伺服器服务提供或阻断无辜浏览的用户端程式。

本文作者: 林政男(Jason Lin)
ISO/IEC 27001 Lead Auditor