關於網頁弱掃、主機弱掃及源碼檢測軟體的推薦，重點要免費。

網頁弱掃主機弱掃源碼檢測

canchang 2023-02-02 14:59:53 ‧ 4787 瀏覽

分享至

駐點在某客戶處，該客戶原本在執行上述作業時各有使用付錢版本的軟體。
網頁弱掃：WebInspect
主機弱掃：Nessus
源碼檢測：Audit Workbench
前兩項是合約內提供的服務，第三項是自行購買，明年到期。
在新維護合約中已明確知道不再提供那兩項服務，但是客戶一定又會「要求」駐點的工程師去尋找免費版本，所以想請問諸位先進，是否有具公信力的免費軟體可以使用呀？

頭痛中。

謝謝！

看更多先前的討論...收起先前的討論...

froce iT邦大師 1 級 ‧ 2023-02-02 15:06:38 檢舉

重點是合約啊，合約沒有你幹嘛做，這本來就有成本的。難道改天你駐點，甲方windows授權用完了你也要生免費的windows給他?

阿摔 iT邦新手 4 級 ‧ 2023-02-02 15:21:51 檢舉

到時候出問題又會要你扛不要做多餘的事情

canchang iT邦新手 3 級 ‧ 2023-02-02 15:29:47 檢舉

一併回覆，這是駐點工程師的悲哀呀！甲方開口，要怎麼去拒絕呢？
這不是「我」自動去做這件事，而是已經知道一定會發生而先來問問。

froce iT邦大師 1 級 ‧ 2023-02-02 15:43:09 檢舉

所以才跟你說這一切都是要看白紙黑字的合約啊。
甲方開口怎麼不可以去拒絕?你要求的事項合約沒有你就得修約啊，看是要甲方自行提供購買的工具還是交由貴司去代為購買。

涉及服務或技術還可以放鬆一點不用一切依照合約，多給一點當服務，這涉及財物你不照合約有自己要扛的想法，我只能說你加油...

阿摔 iT邦新手 4 級 ‧ 2023-02-02 15:43:47 檢舉

讓上面去談駐點工程師都會有類似上層區域主管吧?
上層主管怎麼說就怎麼做
留下對話紀錄跟信件

阿摔 iT邦新手 4 級 ‧ 2023-02-02 15:47:04 檢舉

照你的想法
他會要你生出免費軟體
那後面會不會出了問題又問你說不是都給你們掃過了
會甚麼還會出事要你負責損失
會不會被稽核查到使用了無法在企業內使用的軟體被要求賠款要你負責
你只是駐點工程師不是區主管也不是談合約的人不要給自己扛太多不該扛的東西

canchang iT邦新手 3 級 ‧ 2023-02-02 16:10:27 檢舉

謝謝各位的關心，你們說的我都知道，不過，這是個已經「服務」了十幾年的客戶，被客戶「要求」也不是第一次了，再者，不是只有我一個人，有一個團隊。
另外，這不是我自做主張的想法，而是已經被要求，我只是想偷用先進的資訊來省下一些時間，當然，甲方也不是因為我們提出什麼就全盤接受，就曾經被質疑，如何驗證有達到一定的水準，這就不會是我的事了。
我只是想知道一下有沒有可達到類似功能的「軟體」，若是甲方提出軟體尋找的結果時，給個交代，代表有在做事。
再次感謝各位的關心。

阿摔 iT邦新手 4 級 ‧ 2023-02-02 16:36:59 檢舉

我也說得有點上頭了抱歉
不管如何加油跟小心並注意對方挖坑

逢摸必爆MIS iT邦研究生 3 級 ‧ 2023-02-02 17:25:24 檢舉

找軟體廠商並付錢給他們最大的好處
出事時有人可以噴

免費的就只能自己吞

加油身為曾經的服務人員，懂你的感受

canchang iT邦新手 3 級 ‧ 2023-02-02 17:35:26 檢舉

To 阿摔
不會不會，知道你是好意，不要太在意。

有大大給了兩個網站資訊可以稍微啃一啃，先來看一看。

再次謝謝各位的回應。

sanyeh iT邦新手 4 級 ‧ 2023-02-03 08:45:52 檢舉

我不知道您是否已經有想過類似的方案
因為現在人力成本以及基本薪資調漲
可以跟客戶討論，目前公司調漲維護合約，但是調的當下，附加一些軟體(如果成本可以cover的話)，我覺得您們公司業務應該可以想的到兩全其美的作法。
不然拿一些免費軟體，到時候沒掃到弱點，就慘了。

setsuna iT邦新手 2 級 ‧ 2023-02-05 02:54:20 檢舉

絕對不要替客戶搞任何免費方案，只會害死你、同事或其他接手的人。
不在合約內不合理的要求就直接拒絕，開口拒絕沒這麼難，別把自己當業主的奴隸。
這種事是專案經理的工作，不是什麼決定權都沒有的工程師能負責的。

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

10 個回答

Ray

iT邦大神 1 級 ‧ 2023-02-02 15:22:27

如果免費的可以做到跟商業版相同功能, 請問還有誰要買商業版?

這些都免費的, 不過要先問問看客戶: 承不承認用這些工具掃出來的報表?
https://geekflare.com/online-scan-website-security-vulnerabilities/

其他各種商業或免費的版本在此:
https://owasp.org/www-community/Vulnerability_Scanning_Tools

回應 6
分享
檢舉

看更多先前的回應...收起先前的回應...

canchang iT邦新手 3 級 ‧ 2023-02-02 15:27:30 檢舉

感謝雷神大大的回覆。
你知道，我知道，甲方一定也知道，但是要「省錢」呀！
最慘的是，當可能找到產品，然後又會要我們掛保證跟商業版有相同的水準。
嘆~～～～

aaron3399 iT邦好手 1 級 ‧ 2023-02-02 20:56:02 檢舉

你知道，我知道，甲方一定也知道，但是要「省錢」呀！

省錢就是...報得高高的讓客戶砍得爽爽的xd

最慘的是，當可能找到產品，然後又會要我們掛保證跟商業版有相同的水準。

就沒有辦法回答客戶..."目前市面上真的找不到"嗎?
努力找了真的還是找不到...客戶會怎樣嗎?(終止合約?)

canchang iT邦新手 3 級 ‧ 2023-02-03 16:29:55 檢舉

因為該主管也是個「用功」的人，也會自己上網去找，若是真的這樣回答，到時候他提出幾個，被打臉就慘了。
然後合約報價，就是因為已經砍到無法提供這類付錢的服務，該主管才會想要坳現場的駐點人員，業務？上層主管？他們也使不上力。
嘆~～～～

Ray iT邦大神 1 級 ‧ 2023-02-03 16:34:42 檢舉

其實關鍵並不在要不要付費, 而是:
客戶承不承認你們掃出來的結果?

像政府單位幾乎一面倒都認 Acunetix 報表, 這套軟體一年授權要 20 萬起跳

如果你找了一套免費軟體, 結果掃出來的報表, 客戶不認帳, 叫你重做, 那不就白做工?

所以首要先確認: 客戶願意收哪一套軟體掃出來的報表?

aaron3399 iT邦好手 1 級 ‧ 2023-02-04 12:28:17 檢舉

因為該主管也是個「用功」的人，也會自己上網去找，若是真的這樣回答，到時候他提出幾個，被打臉就慘了。

怎麼會慘呢....!?
該主管願意把自己當成助理來幫你上網找資料不是很好嗎? 雖然不提供服務了但他還出力，要肯定他的努力與貢獻，由衷的感謝他並讓他知道他幫了大忙。
等他找到了以後你再依據他想要的部分做評估與測試，就算找不到合適的那也是他親自找過的結果，這樣不是皆大歡喜嗎

被打臉? 別這麼想....就大方的承認自己對於搜尋免費的資源這部分真的不在行嘛~
人本來就各有專精，這位主管找資料能力讓人佩服，雖然小工程師沒啥能幫得上，但評估測試部分就請交給小工程師了~
最後完成測試，記得不可居功要將功勞都歸給該主管啦~

換個想法其實也沒那麼糟糕.....想想看是否不小心被預設立場的思維模式制約了呢

㊣浩瀚星空㊣ iT邦大神 1 級 ‧ 2023-02-07 22:45:27 檢舉

認真來說，我還真希望你這位主管是很「用功」去找這些資訊。
這樣才能突顯出來你的用心及我們的說詞。

問題在於不是該主管「用不用功」
而是你「用不用心」去探討這問題。

登入發表回應

小處成就大事

iT邦研究生 3 級 ‧ 2023-02-02 15:36:42

不要想「免費弱點掃描」這件事情。
就算真的有免費的，你會信任它掃出來的結果嗎？

有多少錢就作多少事；
必須要作，就拿出經費；
沒有經費，就承擔風險。

回應 3
分享
檢舉

canchang iT邦新手 3 級 ‧ 2023-02-03 16:31:08 檢舉

該主管就是想要一方面省錢，一方面又能做出績效呀！
嘆~～～～

小處成就大事 iT邦研究生 3 級 ‧ 2023-02-03 17:14:43 檢舉

canchang
熱心是好事，但只要牽扯到責任，真的就只能劃分清楚。
舉個例子：
免費的身體健康檢查，跟付錢的身體健康檢查；
兩個檢查的項目數量，肯定是付錢的項目多，對吧！
作免費的檢查，檢查出來都說健康、良好，但是沒多久之後身體不適，再去作精密的檢查時，發現身體健康狀況有問題，且是之前免費健檢沒檢查到的，這難道要怪免費健康檢查？

換個思維，會作弱點掃描表示客戶真的會擔心駭客攻擊，那麼弱點掃描這件事情是不是格外重要？
身體健康檢查你可能都會花個幾千塊錢好好檢查看看有無病症，沒事都健康，花錢就當作買心安，那麼公司系統呢？
真的放的下心用「免費的弱點掃描」？

最後，你只是駐點工程師啊！客戶真的會提這樣的需求，交情好的就跟他說明為什麼不要用免費的弱掃，交情一般就說沒辦法提供不包含在維護合約內的服務。
不然出事了，客戶可以推說是你建議用免費弱掃軟體的；你公司也會推說是你個人因素跟公司無關，這樣你不就兩面都不是人？

對吧？

aaron3399 iT邦好手 1 級 ‧ 2023-02-05 09:00:04 檢舉

該主管就是想要一方面省錢，一方面又能做出績效呀！

這不是該主管應該要去煩惱的事情嗎? 為什麼變成你的煩惱了呢?
除非他可以打你的考績....

登入發表回應

㊣浩瀚星空㊣

iT邦大神 1 級 ‧ 2023-02-03 04:16:14

免費的軟體很多。不過如果還要有公信力。就已經不是軟體的問題了。

公信力其實是人給的。人調整的。

一般免費軟體只是給你功能。如何掃描及規則判斷，大多是要自行去調整及處理的。
而這些行為則也是得看是誰處理的。才會產生所謂的公信力。

一般免費的掃描，其目的也只是為了一般的檢核而已。

回應
分享
檢舉

登入發表回應

老了皮兒

iT邦新手 5 級 ‧ 2023-02-03 08:45:05

你說：你知道，我知道，甲方一定也知道，但是要「省錢」呀！

我說：
不要再為客戶省錢或為自己想賺錢打轉，有錢無錢雖都可以做，一旦與違反工程規範及良心相背事情，記著，人在江湖做事情需自保，不為賺錢險路走，勿天真，以為雙方白紙黑字簽名你撇刑責，當你參與便已共犯，怎麼做你應該就清楚了，無論吃人頭路或接案要保護自己。
我幾次為賺錢險路走而且最上游是政府，某個新北活動案子，替客戶免費弱點掃描出包，被上游放暗箭，判賠錢且要還原商業版掃描，後來經老友開導上頭粗體字，日後不依照工程規範走的案子內容，皆向業主說清楚講明白，責任你我擔不了，請回規範或另請高明；吃人頭路向你長官講明白，責任你和我皆擔不了，請您或我們一同和客戶談清楚，請回規範或另請高明。
正路走得長久，信用方可以長長久久，上天絕不虧待你。

回應 3
分享
檢舉

窮嘶發發發 iT邦高手 1 級 ‧ 2023-02-03 09:05:06 檢舉

免費的永遠最貴，尤其是資安這件事
而且便宜沒好貨，尤其是資安這件事
所有的相關軟體認證都要錢，都要定期審查，這些都要錢，便宜的，IOBIT最便宜，但你敢用 ?
一台機器一年十鎂而已，問題是沒有任何的認證，只說口碑最好，出事了沒有人可以負責，損失算誰的，就算告，十鎂賠百倍好了，也才一千鎂，資安損失有時候都是幾百萬甚至幾千萬，萬一被告，就不是錢可以解決的，可能還有刑責問題，真的免費跟便宜真的沒好貨

腰果花生糖 iT邦新手 2 級 ‧ 2023-02-03 09:39:08 檢舉

我的想法也是，免費軟體這種東西，
是只能當作練功的工具，不要拿出檯面上使用，
要使用的客人，請自行承擔責任。

froce iT邦大師 1 級 ‧ 2023-02-03 11:01:15 檢舉

是的，這才是正確的方向。
我工作上是甲方，在資安要應付稽核我會用開源自己去做，但要花錢我一定要求該花的錢就花，但效果一定要有。

登入發表回應

ckp6250

iT邦好手 1 級 ‧ 2023-02-03 10:14:39

客戶一定又會「要求」駐點的工程師去尋找免費版本。

這種要求根本無理取鬧，直接拒絶，不必客氣。
我想不出來，我為什麼要幫您找免費軟體？

我遇到的情況通常是，客戶嫌我報價貴，
我就跟他說，市面上也有一些免費的軟體，您可以自己去 googel，自己去安裝，不必付錢給我。

我做的是稅務軟體，客戶嫌貴時，我就給他財政部的下載網址，上面都有類似功能的軟體，我請他自己去下載安裝使用，有問題自己打去財政部問，不干我事（財政部寫的東西，我要怎麼負責？）。

再舉另一個淺顯例子，excel 和 word 都不便宜，客戶如果不想買，我們可以跟他說有很多免費的辦公室軟體，可以取代 excel 和 word , 但，也僅止於此，我們沒必要幫他下載和安裝。

依我之見，您就把雷大提供的兩個網址，轉交給客戶，請他自己去挑一個使用。

回應
分享
檢舉

登入發表回應

whitefloor

iT邦研究生 2 級 ‧ 2023-02-03 10:51:17

以前我也遇過類似的事情

基本上公司是傳產，做散熱模組的，老闆開了子公司專門處理FinTech
結果公司內的軟體基本上都是所謂的破解版
包括Word Excel
還有專業演算法軟體藏在內網沒有連到internet

我只感覺，想用人家的東西，就花錢買，不然老闆做的散熱模組也免費給人家用好了
然後幫母公司的人建置service也是這個不想花那個不想花
後來不爽硬起來掀了公司一輪之後就離職了，薪水更高，過得更爽

然後聽說老闆身價十億，住在松壽路，結果是用這種方法在賺錢
所以也不用對他們太客氣
想用就打在合約上，然後花錢
想用又不想花錢就打在合約上幫他找open source，上班時間多少就幫他做多少
然後用open source出事就你家的事，這種東西就一分錢一分貨

回應
分享
檢舉

登入發表回應

user20180420

iT邦新手 5 級 ‧ 2023-02-03 12:35:20

nessus跟網頁弱掃用的acunetix我筆電有正版授權可以幫你掃有需要可私訊

回應 1
分享
檢舉

canchang iT邦新手 3 級 ‧ 2023-02-03 16:25:48 檢舉

謝謝！不過業主應該不會接受。

登入發表回應

hsiang11

iT邦好手 1 級 ‧ 2023-02-03 12:53:12

想要免費資安幾乎都是些腦包主管的想法
他們聽到什麼名詞弱點掃描滲透測試
就想要找到免費隨便找人下去做，然後在跟老闆秀公司的資安多好
這類不想花錢不尊重專業的人，觀念上也都是救不回來了

其實被亂搞該走就要走了
不要搞到自己擔責任
業界太多這樣的事而且會這樣搞的公司基本上資安都是做到差到了極點
只是沒有被引爆過讓他們知道事情嚴重性

回應 1
分享
檢舉

阿摔 iT邦新手 4 級 ‧ 2023-02-03 16:15:08 檢舉

沒痛過都不會重視台灣企業很多這種通病

登入發表回應

echochio

iT邦高手 1 級 ‧ 2023-02-03 23:53:57

我是公司員工我會幫公司做
https://wizardforcel.gitbooks.io/kali-linux-web-pentest-cookbook/content/ch5.html
當然要告知老闆我盡力了
沒掃到也沒辦法

如果是客戶就請客戶自行 Google 然後請客戶寫入合約
客戶自己選的如沒效果那是客戶自己選的怪不了別人

有很多老闆就是叫人用盜版的
那不要客氣直接錄音被抓到就交出錄音檔

例如office 可以用免費的 LibreOffice
不然用ms web 版也可不然用 google sheet docs
慢或不相容那就買正版呀

回應 1
分享
檢舉

aaron3399 iT邦好手 1 級 ‧ 2023-02-04 15:33:35 檢舉

有很多老闆就是叫人用盜版的
那不要客氣直接錄音被抓到就交出錄音檔

問題是....交出錄音檔就可以免責嗎

登入發表回應

CyberSerge

iT邦好手 1 級 ‧ 2023-02-04 00:44:41

具公信力的免費軟體

要求公信力，可能要找商業軟體的免費社群版本，但就是要看功能或機器數量限制，可以參考

Qualys Community Edition
https://www.qualys.com/community-edition/

Nessus essential Edition (限16個IP)
https://www.tenable.com/products/nessus/nessus-essentials

或者是使用CISA清單上列出的工具/服務，說服對方這是具有一定公信力的產品/服務結果
https://www.cisa.gov/free-cybersecurity-services-and-tools

依我的看法，即使用免費的Nessus essential Edition一次16個IP慢慢掃，自己整合結果，會花上無數的時間(和精力)，如此會壓縮你進行其他工作的時間；而且vulnerability management其中一個要點是發現弱點之後，需要花多長時間處理。若光是掃描和產生報表就要花很多時間，可能報告還沒生出來，或是還沒開始處理弱點，新的弱點又會被發現，這樣報告根本無法結案