網路掃描
滲透測試初期,施測人員將以網路掃描工具勘查受測範圍,找尋各個網域名稱或 IP 位址是否有開放任何網路服務,並且判斷該服務是哪種類型的應用程式,再使用對應攻擊手法檢測是否存在漏洞。
弱點掃描
當網路掃描完成且辨別完畢後,施測人員可搜尋該服務是否有已知弱點,並且嘗試攻擊此弱點,或自行開發新的弱點攻擊工具,驗證該弱點是否有進一步利用價值。
滲透測試服務(Penetration Test,PT)以具有駭客思維的手法入侵企業指定的網站、資訊系統、設備等軟硬體,找出各種潛在漏洞,驗證企業的資料與設備是否可被竊取或破壞,並評估安全性是否需要進一步強化
滲透測試服務(Penetration Test,PT)以具有駭客思維的手法入侵企業的網站、資訊系統、設備等軟硬體,找出各種潛在的漏洞,驗證企業的資料與設備是否可被竊取或破壞,評估安全性是否需要強化。
滲透測試初期,施測人員將以網路掃描工具勘查受測範圍,找尋各個網域名稱或 IP 位址是否有開放任何網路服務,並且判斷該服務是哪種類型的應用程式,再使用對應攻擊手法檢測是否存在漏洞。
當網路掃描完成且辨別完畢後,施測人員可搜尋該服務是否有已知弱點,並且嘗試攻擊此弱點,或自行開發新的弱點攻擊工具,驗證該弱點是否有進一步利用價值。
參考國際標準
OWASP (Open Web Application Security Project) Web Security Testing Guide 網站應用程式安全測試專案
OSSTMM (Open Source Security Testing Methodology Manual) 開源安全測試方法指南
企業通常會優先修補重大風險及高風險漏洞,擱置中風險、低風險漏洞,認為此類風險較低漏洞可暫時不修復。但在攻擊者眼中,這些漏洞可能具有不同利用價值,尤其是組合利用後,往往能發現令人意想不到的攻擊鏈。 DEVCORE 戴夫寇爾的滲透測試可協助企業挖掘出這些攻擊鏈,進而瞭解各個漏洞的真實危害。
滲透測試專家可根據客戶的程式語言、開發框架、作業系統、網站功能特性提供專業修補建議,供開發人員根據當下情境使用合適的修補方式,儘快將漏洞修補完畢,避免遭到攻擊者利用。
若開發人員不夠了解漏洞全貌,或錯誤判斷修補方式時,可能會採用不完整的機制修補漏洞,使得該漏洞被組合利用時,有機會產生全新的攻擊手段。透過滲透測試專家的專業複測,可大幅度降低此類狀況發生機率,確保漏洞被正確修補完畢。
DEVCORE 滲透測試有別於坊間其他滲透測試服務,由經驗豐富的資安專家手動進行,測試過程中專家會利用不同弱點進行組合式攻擊,驗證是否有任何方式可突破當前網站防禦。
DEVCORE 長期深耕駭客資安社群,熟悉駭客思維及攻擊手法,並將最新型的入侵行為應用於滲透測試。DEVCORE 認為,資安戰火難熄,知己知彼,百戰不殆,唯有貼近駭客想法才能帶來最真實的滲透測試。
我們擅長組合多重不同風險、不同面向的漏洞,最大化攻擊效果,進而找出企業從未發現的攻擊途徑。曾發佈多項國際知名產品漏洞的 DEVCORE 資安專家,將比駭客早一步找出您的 0-day 漏洞,讓您順利避開風險!
大型企業通常存在更多樣的攻擊入侵點,包含:網站、 App 、網通設備等各種軟硬體。DEVCORE 資安團隊編制完整,擁有各種系統、程式語言、設備滲透能力的專家,能為企業全方位評估多樣化目標中的各項安全風險。