关於渗透测试：那些你不知道的黑暗面

辛辛苦苦的终於撑完30天完赛啦~
今天就再来聊聊一些特别的吧！

如果你是一个向往渗透测试的入门者、学生，
可能必须先说声抱歉这篇文章可能会毁了你的幻想。

虽然标题下得有点耸动，老实说我也有点不知道该甚麽开头，
可以说的事情太多了反而不知如何顺畅的详尽说清楚。

今天就以乙方的角度，来谈谈两件我个人觉得绝望的事情，
这绝对不是一个个人或是一间公司的个案，而是整个资安生态当中的问题点。
而且最令人绝望的事情并不是因为现在，而是未来．．．

首先聊聊第一个。
有看我先前的文章的应该有注意到Burp当中有Scanner这项功能，
其实就是执行一个网站弱点扫描的功能，
那其实除了Burp以外，有很多商业用更强大与便利的网站弱点扫描工具，
而资安服务公司，不管大间小间，也许多家都会有网站/主机弱点扫描的服务，
以台湾来说，甲方技术人员可能比较熟悉的会是主机弱点扫描的知名工具Nessus。

那渗透测试与弱点扫描，这两个实际上是相差甚远的，
前者需要更加专业的人才与更大量的人力时间成本，
後者则是利用工具自动化的进行扫描(主机弱扫甚至可以方便的大量扫描)。

除了执行上的差异，对於风险弱点的揭露程度，
两者可以执行的深度，甚至可以说执行的范围都完全不同。
所以在价格上渗透测试必然是比网站弱扫还来得贵上许多。

那问题出在哪里呢？
其实现在仍有一些甲方单位并不熟悉两者的差异，
或是说对他们来说「渗透测试」仅仅是因应合乎规范的需求，
也就是说他们的网站只要有做过「渗透测试」服务，就可以交差了，
当今天两家乙方厂商各开出不同的价格，
只想交差了事的话，当然就是选择便宜的罗～
（其实就算不是因为交差，也很可能会选便宜的XD）
现在不仅是因为一些政府规定，也是企业高官对「资安越来越重视（？）」，
所以需要做渗透测试的案子其实会越来越多，
前面也提到过，渗透测试其实相对於一些弱点扫描服务价格是较高的，
而市场机制如果就是这样下去，也可能就会产生了削价竞争的情形，
而刚刚也提到渗透测试其实是需要较高成本的服务，
如果价格不断下降，或是更多人看到这块市场想加入渗透测试服务，
其实厂商收的钱根本也没办法真正的做好渗透测试，
甚至可能导致厂商假藉渗透测试之名，行网站弱扫之实，
整个资安生态陷入一个诡异的恶性循环，
其实这不是甲方的错、不是乙方的错，
而是整个市场机制、人性，对於资安的不重视产生的必然性悲剧。

虽然开头提到要讲两件绝望的事情，
但讲完第一个，觉得有点心累，就不提第二个了XD
就让它先成为一个谜吧。

不过还是可以提提其他事情，
让想走渗透测试的你有点心理准备。
像是渗透测试会花很多时间在做报告，
给客户修补建议，可能还要手把手教学，
也会常常需要回应一些可能跟技术无关的问题。
也有客户真的满状况外的，
有次我要求客户移除网站中的某个页面，
我也给了他完整个URL，
客户还是问我要怎麽移除那个页面，要去哪里找。
时不时也会要你通灵一下，有一次测试过程中，
客户要我确认连到网站中间有没有资安设备(?!)，
我试了一下跟客户提到有WAF阻挡，
客户问我，那你经过的WAF是哪一个型号的WAF，
你知道它在哪个位置吗(?)，
现在是欢乐大集合还是通灵王大赛？

不过还好大部分的甲方人员都还是很NICE的啦~
虽然可能多少会有人听说过，要训练耐心跟脾气才能去乙方，
其实甲方奥客也不是这麽多的，大概10个里面还是有8,9个正常的好人。

好啦XD 最後一天居然变成抱怨文，
总之，很开心今年也是有完赛！