網路掃描
滲透測試初期,施測人員將以網路掃描工具勘查受測範圍,找尋各個網域名稱或 IP 位址是否有開放任何網路服務,並且判斷該服務是哪種類型的應用程式,再使用對應攻擊手法檢測是否存在漏洞。
弱點掃描
當網路掃描完成且辨別完畢後,施測人員可搜尋該服務是否有已知弱點,並且嘗試攻擊此弱點,或自行開發新的弱點攻擊工具,驗證該弱點是否有進一步利用價值。
滲透測試
以最真實的攻擊,
驗證企業系統安全
滲透測試服務(Penetration Test,PT)以具有駭客思維的手法入侵企業指定的網站、資訊系統、設備等軟硬體,找出各種潛在漏洞,驗證企業的資料與設備是否可被竊取或破壞,並評估安全性是否需要進一步強化
系統漏洞是吸引駭客攻擊的門戶
- 相較於一般電腦病毒,駭客攻擊對企業更具針對性及攻擊性
- 滲透測試是針對企業單一系統的局部健康檢查,具有不同的面向與深度
- 定時執行滲透測試,可及早改善資訊架構弱點、提高系統防禦能力,以降低各種駭客攻擊對企業的危害
哪些系統需要滲透測試?
具備高度機敏資料、個人資料的資訊系統
具有集中控管權限,能直接存取大量主機的系統
與企業營運直接相關且暴露在網際網路上的系統
作為企業內、外部介接重要樞紐的系統
對社會運作有重大影響力的系統
滲透測試服務(Penetration Test,PT)以具有駭客思維的手法入侵企業的網站、資訊系統、設備等軟硬體,找出各種潛在的漏洞,驗證企業的資料與設備是否可被竊取或破壞,評估安全性是否需要強化。
滲透測試的檢測項目
參考國際標準
OWASP (Open Web Application Security Project) Web Security Testing Guide 網站應用程式安全測試專案
OSSTMM (Open Source Security Testing Methodology Manual) 開源安全測試方法指南
透過滲透測試可獲得哪些效益?
評斷組合漏洞的風險等級與利用方式
企業通常會優先修補重大風險及高風險漏洞,擱置中風險、低風險漏洞,認為此類風險較低漏洞可暫時不修復。但在攻擊者眼中,這些漏洞可能具有不同利用價值,尤其是組合利用後,往往能發現令人意想不到的攻擊鏈。 DEVCORE 戴夫寇爾的滲透測試可協助企業挖掘出這些攻擊鏈,進而瞭解各個漏洞的真實危害。
提供程式安全性改善建議
滲透測試專家可根據客戶的程式語言、開發框架、作業系統、網站功能特性提供專業修補建議,供開發人員根據當下情境使用合適的修補方式,儘快將漏洞修補完畢,避免遭到攻擊者利用。
驗證漏洞是否已修補完成
若開發人員不夠了解漏洞全貌,或錯誤判斷修補方式時,可能會採用不完整的機制修補漏洞,使得該漏洞被組合利用時,有機會產生全新的攻擊手段。透過滲透測試專家的專業複測,可大幅度降低此類狀況發生機率,確保漏洞被正確修補完畢。
為何選擇 DEVCORE 戴夫寇爾滲透測試?
DEVCORE 滲透測試有別於坊間其他滲透測試服務,由經驗豐富的資安專家手動進行,測試過程中專家會利用不同弱點進行組合式攻擊,驗證是否有任何方式可突破當前網站防禦。
真正貼近駭客想法的滲透專家
DEVCORE 長期深耕駭客資安社群,熟悉駭客思維及攻擊手法,並將最新型的入侵行為應用於滲透測試。DEVCORE 認為,資安戰火難熄,知己知彼,百戰不殆,唯有貼近駭客想法才能帶來最真實的滲透測試。
比駭客更早找到您的 0-day
我們擅長組合多重不同風險、不同面向的漏洞,最大化攻擊效果,進而找出企業從未發現的攻擊途徑。曾發佈多項國際知名產品漏洞的 DEVCORE 資安專家,將比駭客早一步找出您的 0-day 漏洞,讓您順利避開風險!
足以面對多樣目標的完整團隊編制
大型企業通常存在更多樣的攻擊入侵點,包含:網站、 App 、網通設備等各種軟硬體。DEVCORE 資安團隊編制完整,擁有各種系統、程式語言、設備滲透能力的專家,能為企業全方位評估多樣化目標中的各項安全風險。
FAQs
-
滲透測試有什麼前置作業嗎?
-
滲透測試過程中是否會影響我的其他主機?
-
如何保護滲透測試所取得之資訊?
-
滲透測試的執行頻率?