以骇客的角度,针对企业的网路、系统、网站进行检测弱点与漏洞,并撰写一份渗透测试报告提供给企业,该报告内容包含测试过程结果与修复建议,企业收到此报告後,可根据报告内容进行弱点修复。
企业内部常有敏感资料(客户资料、业务资料、财务资料等)、公司资产、企业的 Know How,这些资料若被骇客取得并且流於市面,可能造成业务财产损失重大。
因此在被恶意骇客利用弱点或漏洞攻击之前,先委托资安公司进行渗透测试,针对公司的网路、使用系统与网站是否安全。
渗透测试的目标,针对企业所使用的:
受测试方主要需提供以下资讯,供测试方进行时程评估与报价:
测试目标需要与企业进行沟通与接洽,确认目标後进行签约,保障双方权益。
因测试行为可能会构成刑法妨害电脑使用罪等罪名,因此需要透过签约,取得合法授权,再进行渗透测试。
根据受测试方提供的资讯与接洽的结果,可根据测试目标所获得的资讯量,分成以下三种渗透测试类型:
进行黑箱测试,除了知道目标名称和 IP 之外,受检测方没有提供其他资讯,以模拟恶意的攻击者,针对性进行攻击的状况。因为没有太多资讯,因此需要花费许多时间在「蒐集资讯」的时间,测试方会花费大量的时间与成本(导致报价也会提高)。
可透过设定条件减少检测成本,以受测网站帐号密码被窃取为出发点,受检测方提供帐号密码,可加入测试方检测时间。
进行白箱测试,受检测方提供目标的内部结构、基础设施与应用程序的程序码、帐号密码与目标的所有资讯。
藉由白箱与灰箱之间,测试人员取得有限的目标资讯,可能因为程序、系统委外给第三方开方,因此没有详细的服务手册。
测试人员以渗透工具与检测手法,发现目标系统/网站存在,以下但不限於的弱点/漏洞类型:
常见的资安服务分成弱点扫描、渗透测试、红队演练。
以弱点扫描软件进行针对企业的固定范围如企业内部网段或企业指定网站,可分成以下两种:
常有误判的可能性,因此要透过人工验证确认是否有误判。
以企业整体进行演练,包含完整渗透测试、後渗透(横向移动等),依据客户需求可能包含社交工程、 DDoS、实体安全。
今天来了解字串的操作方法有哪些,至少读过或操作一次,或许未来有哪些情境可以用到。 charAt() ...
reduce() reduce 很常用在计算累加上面。 之前介绍的方法,大多都是将阵列的值一个一个放...
What is an Object? Introduction by W3C School Elem...
系统能用上级的就勉强用,资料不需要就不要碰,把责任都往外委托就舒服啦 已经确认是资安法的纳管范围机关...
今天要来介绍一下如何 set up TypeScript! 请先到 TypeScript 的官网然後...