Day1 渗透测试定义与资安服务比较

何谓渗透测试

以骇客的角度,针对企业的网路、系统、网站进行检测弱点与漏洞,并撰写一份渗透测试报告提供给企业,该报告内容包含测试过程结果与修复建议,企业收到此报告後,可根据报告内容进行弱点修复。

为什麽要做渗透测试

企业内部常有敏感资料(客户资料、业务资料、财务资料等)、公司资产、企业的 Know How,这些资料若被骇客取得并且流於市面,可能造成业务财产损失重大。

因此在被恶意骇客利用弱点或漏洞攻击之前,先委托资安公司进行渗透测试,针对公司的网路、使用系统与网站是否安全。

渗透测试目标与范围

渗透测试的目标,针对企业所使用的:

  1. 应用程序(包含但不限於网站系统设备等软硬体)
    • 标的不管是自行开发、委外给第三方开发、或购买他人服务/设备皆算范围
  2. 网路服务
    • 企业内部网路/网段

受测试方主要需提供以下资讯,供测试方进行时程评估与报价:

  1. 测试域名/IP(须证明合法持有该域名/IP)
  2. 是否限制特定时间进行检测
  3. 其他需求

测试目标需要与企业进行沟通与接洽,确认目标後进行签约,保障双方权益。
因测试行为可能会构成刑法妨害电脑使用罪等罪名,因此需要透过签约,取得合法授权,再进行渗透测试。

渗透测试的测试类型

根据受测试方提供的资讯与接洽的结果,可根据测试目标所获得的资讯量,分成以下三种渗透测试类型:

  1. 黑箱测试
  2. 白箱测试
  3. 灰箱测试

黑箱测试

  • 甲方只提供目标的名称/网址/IP
  • 乙方需要自行蒐集资讯

进行黑箱测试,除了知道目标名称和 IP 之外,受检测方没有提供其他资讯,以模拟恶意的攻击者,针对性进行攻击的状况。因为没有太多资讯,因此需要花费许多时间在「蒐集资讯」的时间,测试方会花费大量的时间与成本(导致报价也会提高)。

可透过设定条件减少检测成本,以受测网站帐号密码被窃取为出发点,受检测方提供帐号密码,可加入测试方检测时间。

白箱测试

  • 甲方提供目标的各种资讯(基础建设部属与程序码)
  • 乙方可事先针对程序码进行审查,拟定攻击的方式

进行白箱测试,受检测方提供目标的内部结构、基础设施与应用程序的程序码、帐号密码与目标的所有资讯。

灰箱测试

  • 甲方尽最大的能力提供目标资讯
  • 乙方仍需要透过自行蒐集资讯

藉由白箱与灰箱之间,测试人员取得有限的目标资讯,可能因为程序、系统委外给第三方开方,因此没有详细的服务手册。

渗透测试能检测到的弱点/漏洞

测试人员以渗透工具与检测手法,发现目标系统/网站存在,以下但不限於的弱点/漏洞类型:

  1. 未经授权可存取/修改/删除敏感资料
  2. 因人为设定错误,导致敏感资料外泄
  3. 已发布重大漏洞但尚未更新的服务/系统/韧体/作业系统
  4. 开发过程中注意的业务逻辑漏洞

资安服务的比较

常见的资安服务分成弱点扫描、渗透测试、红队演练。

弱点扫描

以弱点扫描软件进行针对企业的固定范围如企业内部网段或企业指定网站,可分成以下两种:

  1. 网路弱点扫描
    • 常透过商业扫描软件 Nessus、开源软件 Open VAS 针对企业网路内部寻找企业的服务、系统是否存在已知的漏洞,类型通常为作业系统版本、插件版本过低。
  2. 网站弱点扫描
    • 常透过商业扫描软件 Acunetix Web Vulnerability Scanner(AWVS)、开源软件 OWASP ZAP 针对企业网站进行检测,漏洞类型通常为 SSL 版本过低、TLS 版本脆弱、Cookie 未加上 Httponly 或 secure 等弱点。

常有误判的可能性,因此要透过人工验证确认是否有误判。

红队演练

以企业整体进行演练,包含完整渗透测试、後渗透(横向移动等),依据客户需求可能包含社交工程、 DDoS、实体安全。

重点统整

  1. 渗透测试的定义
  2. 渗透测试的目标与范围
  3. 渗透测试的类型
  4. 常见的资安服务比较

<<:  我为何要写这系列文章

>>:  Day#01 合抱之木生於毫末

[Day26] String methods 字串操作方法(1)

今天来了解字串的操作方法有哪些,至少读过或操作一次,或许未来有哪些情境可以用到。 charAt() ...

[想试试看JavaScript ] 阵列一些操作阵列好用的方法 reduce

reduce() reduce 很常用在计算累加上面。 之前介绍的方法,大多都是将阵列的值一个一个放...

#20 JS: Object Fundamentals

What is an Object? Introduction by W3C School Elem...

轻松小单元 - 如何减少应办事项

系统能用上级的就勉强用,资料不需要就不要碰,把责任都往外委托就舒服啦 已经确认是资安法的纳管范围机关...

Day 2 set up

今天要来介绍一下如何 set up TypeScript! 请先到 TypeScript 的官网然後...