close

萬弘資訊 滲透測試 [快速諮詢與聯繫]

本公司累積長達15年以上的資訊安全輔導經驗,相關案例包含:
 上市製造業公司(筆電原廠、工業電腦大廠、生技公司、電子製造業、程式開發公司)
 新創公司(人工智慧、大數據分析、基因科技)
 A級政府機關(包含特定非公務機關)、B級政府機關、C級政府機關
 電子商務公司(包含代營運業者)  資產管理公司
 印刷公司  二類電信公司  研究機構  衛福部醫院  電力公司
 軍醫院   財團法人  超過10間程式開發系統整合公司(承接政府專案)
(顧問群合計輔導上百個資訊安全專案)
 
★★★★★下方為快速聯繫資訊★★★★★
Lind ID :  wanhung1911
E-mail  :  sales@wanhung.com.tw
電    話 :(02)2901-9371
 

 

何謂滲透測試分類?

  • 白箱測試:預先了解受測單位的環境、架構、系統、程式後,進行邏輯性、流程面、資料流動串接的弱點分析與測試(多數人認為於開發階段進行)。
  • 黑箱測試:由受測單位提供網址或是IP,就直接模擬駭客手法開始測試(業界多數採用黑箱測試)。

 

⧫ 滲透測試流程

滲透測試流程_周世洪

 

⧫ 合約簽署與訂定規則

本階段是讓受測單位(即客戶端人員)了解、同意此滲透測試的執行是經過雙方同意下且經由客戶授權,服務過程中可能造成資訊環境設備、電腦效能降低、或暫時性中斷、產生大量事件或警示而造成磁碟空間不足的狀況須被客戶所接受 。
訂定規則:講好哪些滲透方式可以作,哪些不能作?
例如:
  • 入侵取得權限後、是否可持續在內部擴張權限?
  • 是否可安裝 「後門程式」、「木馬程式」?
  • 是否可置換頁面資訊?是否可採用大量網路封包?
  • 是否可放資料進資料庫或是系統內?

 

⧫ 制定攻擊計畫

組織技術團隊、選用適當之滲透測試工具、方法並定制定攻擊策略。
針對不同系統、受測方式,選用的策略也不盡相同。
例如:
  • 內部網路的滲透就須要採用監聽、後門程式。
  • 外部網站的滲透就很重視功能面的錯誤、或是程式弱點。

 

⧫ 技術性掃描與資訊蒐集

透過任何方式(技術性、非技術性、網路搜尋)去蒐集受測系統的所有資訊。
例如:
服務項目、系統平台(Windows或是Linux..)、程式語言(php、jsp、asp.net、C#)、既有的版本漏洞、網站與網站的關聯(摸索內部網路)、或是簡易測試資料流的傳遞、介接以深入瞭解內部運作。

 

⧫ 找出漏洞、弱點或取得權限

依據前一個階段「技術性掃描與資訊蒐集」所得到的資訊,再透過多項適用之網路工具(付費、免費,例:Nessus、nmap、webinspect、wireshark、google…等)、攻擊方法交叉混合使用進一步找出可能或已知的漏洞或弱點後,嘗試取得權限與擴張權限,建立「立足點」。

 

⧫ 產製滲透測試結果報告

依據滲透測試所得到的資訊進行報告的產出,通常核心內容都會以高、中、低三個等級的風險來進行呈現與說明。

例如:

  • SQL Injection (結構化查詢語言的攻擊注入) 高風險 有可能造成資料庫內會員交易資料遭受破壞、竄改、取得。
  • Script Error 中風險使用者輸入資料格式錯誤可能造成網站回應過慢、或是頁面錯誤的風險。
  • 網路路徑追蹤(路由追蹤) 低風險可藉由tracert或是traceroute的指令追蹤網站位置。
 
 
 
arrow
arrow
    文章標籤
    滲透測試 資安顧問 資安顧問服務 黑箱測試 白箱測試 滲透測試規劃報價 資訊安全威脅與防護 資訊安全概論
    全站熱搜
    創作者介紹
    創作者 ISO27001輔導認證 的頭像
    ISO27001輔導認證

    萬弘資訊 ISO27001認證 (sales@wanhung.com.tw)

    ISO27001輔導認證 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄