滲透測試服務 Penetration Testing

滲透測試服務是什麼？

滲透測試服務 (Penetration Test, PT) 以駭客思維嘗試入侵該企業的網站、資訊系統、設備等軟硬體，找出各種潛在的漏洞，驗證企業的資料與設備是否可被竊取或破壞，評估資訊系統與硬體安全性是否有待加強。

為何企業需要戴夫寇爾的滲透測試服務？

駭客攻擊就像生活中的病毒，隨時隨地都有可能接觸到並且遭受感染。而滲透測試如同健康檢查，若企業能定時執行深層的資安健檢，便能及早針對企業資訊架構的弱項做改善防禦，往後面對各種攻擊時即可提高存活的機率。

選擇戴夫寇爾，您選擇的是：

真正貼近駭客想法的滲透專家

我們長期深耕駭客社群，了解駭客的思維及攻擊手法，並將最新穎的入侵行為應用在滲透測試上。我們認為，資安是一場無止境的戰爭，知己知彼，百戰不殆，唯有貼近駭客想法才能帶來最真實的滲透測試。

比駭客更早獲得您的 0-day

我們擅長組合多個不同風險、不同面向的漏洞來達成最大化攻擊效果，進而找出企業從未發現的攻擊途徑。曾發佈多項國際知名產品漏洞的我們，更有能力比駭客先找出您的 0-day 漏洞！

足以面對多樣目標的團隊編制

大型企業通常擁有眾多網站、App、網通設備等各種軟硬體，多樣化的目標必須仰賴編制完整的資安團隊，擁有各種系統、程式語言、設備滲透能力的專家，才能夠全方位的評估企業的各種安全風險。

滲透測試有無相關規範？

檢測的服務項目會包括網路掃描、弱點掃描、滲透測試三大層面，並且遵循下列國際標準：

OWASP (Open Web Application Security Project)

網站應用程式安全測試清單第四版
https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents
OSSTMM (Open Source Security Testing Methodology Manual)

開源安全測試方法指南第三版
http://www.osstmm.org/

滲透測試執行流程有哪些？

確認專案需求

啟動專案起始會議，確認客戶需求以及執行規範
簽署合約取得合法滲透授權

執行滲透測試

目標偵察：蒐集目標的公開資訊，如 domain、IP 位址、帳號等
資訊蒐集：測試是否有敏感資料或系統訊息洩漏
弱點掃描：掃描該目標已知弱點
滲透測試：測試應用軟體漏洞、網站邏輯漏洞、作業系統漏洞、密碼破解等項目
權限跳脫與提升：若取得伺服器控制權，嘗試取得伺服器最高權限，或滲透內網其他伺服器

滲透測試報告

撰寫各弱點之進入點、風險等級、測試方式、修補方式
遞交測試結果報告
提供客戶弱點修正顧問諮詢

其他滲透測試常見問答

滲透測試有什麼前置作業嗎？

戴夫寇爾與委託者會溝通測試執行時間，基本上以上班時間為準，以便發現重大漏洞時可請企業開發人員及時修補。同時也會告知測試來源 IP，以便企業分辨測試來源是否合法，避免同時遭到入侵攻擊而未發覺。
滲透測試與弱點掃描有何差異？

弱點掃描可由自動化掃描軟體在較短的時間內執行完畢，因此時間與金錢成本相對較低。但是弱點掃描僅能檢測既有的漏洞，無法及時檢測出最新的資安漏洞並給予修補建議。滲透測試需由經驗豐富的資安專家手動進行，測試過程中專家會利用不同的弱點進行組合式攻擊，驗證是否有任何方式可突破當前網站的防禦。
滲透測試需要多久的時間？

根據不同系統的規模大小而訂，通常單一網站從初測、修補到複測，至少需要一個月的時間。
自動測試與手動測試有何差異？

手動測試比自動測試有準確率較高、檢測深度較深、能分辨商業邏輯漏洞等優點。
滲透測試包含社交工程與 DDoS 嗎？

為避免影響企業正常營運，除非客戶特別要求，否則戴夫寇爾的滲透測試不會包含社交工程與 DDoS。
滲透測試過程中會不會影響我的其他主機？

若無取得合法授權，戴夫寇爾不會對授權目標之外的主機進行檢測。
滲透測試所取得之資訊是否容易外洩？

戴夫寇爾資安專家皆具備高度企業倫理與道德，不會將測試資訊以任何資訊傳遞給第三方。測試過程中之資料傳遞也會以高強度的密碼加密傳輸，以確保資料的安全性。
滲透測試執行完畢後就可以高枕無憂？

駭客攻擊手法層出不窮，即使網站不進行任何更動，也難以保證未來不會被新的攻擊方式入侵。並且一般商務網站也不可能永遠不開發新功能，因此仍建議每年定期執行滲透測試。
滲透測試該多久執行一次？

金管會規定銀行體系之網站必須一年執行兩次滲透測試，而一般的企業網站或網路服務則建議每年至少執行一次滲透測試。
可以委託戴夫寇爾測試其他企業的網站嗎？

滲透測試會觸及企業的敏感資訊，必須取得合法的授權後才能進行測試，因此僅能接受該網站的擁有者或所屬企業委託測試。
執行滲透測試的廠商需要特定資格嗎？

目前並無相關法規，但購買滲透測試服務前最好確認廠商是否真的有能力可提供高品質的服務，例如廠商是否曾揭露大型軟體、網路服務的漏洞、廠商是否曾在各大研討會發表資安技術等，以避免廠商僅擁有軟體。

瞭解滲透測試

滲透測試服務是什麼？

為何企業需要戴夫寇爾的滲透測試服務？

真正貼近駭客想法的滲透專家

比駭客更早獲得您的 0-day

足以面對多樣目標的團隊編制

滲透測試有無相關規範？

OWASP (Open Web Application Security Project)

OSSTMM (Open Source Security Testing Methodology Manual)

滲透測試執行流程有哪些？

確認專案需求

執行滲透測試

滲透測試報告

其他滲透測試常見問答

滲透測試有什麼前置作業嗎？

滲透測試與弱點掃描有何差異？

滲透測試需要多久的時間？

自動測試與手動測試有何差異？

滲透測試包含社交工程與 DDoS 嗎？

滲透測試過程中會不會影響我的其他主機？

滲透測試所取得之資訊是否容易外洩？

滲透測試執行完畢後就可以高枕無憂？

滲透測試該多久執行一次？

可以委託戴夫寇爾測試其他企業的網站嗎？

執行滲透測試的廠商需要特定資格嗎？

DEVCORE 2023 第三屆實習生計畫

DEVCORE Conference 2023 即日起開放報名

DEVCORE 2022 年度全國資訊安全獎學金頒獎餐敘順利落幕

用最真實的攻擊，驗證企業的防禦

瞭解滲透測試

滲透測試服務是什麼？目錄

為何企業需要戴夫寇爾的滲透測試服務？目錄

真正貼近駭客想法的滲透專家

比駭客更早獲得您的 0-day

足以面對多樣目標的團隊編制

滲透測試有無相關規範？目錄

OWASP (Open Web Application Security Project)

OSSTMM (Open Source Security Testing Methodology Manual)

滲透測試執行流程有哪些？目錄

確認專案需求

執行滲透測試

滲透測試報告

其他滲透測試常見問答目錄

滲透測試有什麼前置作業嗎？

滲透測試與弱點掃描有何差異？

滲透測試需要多久的時間？

自動測試與手動測試有何差異？

滲透測試包含社交工程與 DDoS 嗎？

滲透測試過程中會不會影響我的其他主機？

滲透測試所取得之資訊是否容易外洩？

滲透測試執行完畢後就可以高枕無憂？

滲透測試該多久執行一次？

可以委託戴夫寇爾測試其他企業的網站嗎？

執行滲透測試的廠商需要特定資格嗎？

DEVCORE 2023 第三屆實習生計畫

DEVCORE Conference 2023 即日起開放報名

DEVCORE 2022 年度全國資訊安全獎學金頒獎餐敘順利落幕

用最真實的攻擊，驗證企業的防禦

滲透測試服務是什麼？

為何企業需要戴夫寇爾的滲透測試服務？

滲透測試有無相關規範？

滲透測試執行流程有哪些？

其他滲透測試常見問答