先確認貴公司價格可否接受? (1個網址,例如: https://www.wanhung.com.tw)

1、確認可執行的時間區間,約3天內執行完畢

2、包含 SQL Injection、XSS、邏輯測試、未經授權的大量存取測試 

(過程包含 網站 弱點掃描)

3、產製完整執行過程滲透測試報告

4、結案

 

萬弘資訊 滲透測試 [快速諮詢與聯繫]

本公司累積長達25年資訊系統技術經驗,相關案例包含:
 1電商網站滲透測試經驗
 工控環境的生產系統滲透測試經驗
 數位貨幣交易所
 
★★★★★下方為快速聯繫資訊★★★★★
Lind ID :  wanhung1911
E-mail  :  sales@wanhung.com.tw
電    話 :(02)2901-9371
 

 

何謂滲透測試分類?

  • 白箱測試:預先了解受測單位的環境、架構、系統、程式後,進行邏輯性、流程面、資料流動串接的弱點分析與測試(多數人認為於開發階段進行)。
  • 黑箱測試:由受測單位提供網址或是IP,就直接模擬駭客手法開始測試(業界多數採用黑箱測試)。

 

⧫ 滲透測試流程

滲透測試流程_周世洪

 

⧫ 合約簽署與訂定規則

本階段是讓受測單位(即客戶端人員)了解、同意此滲透測試的執行是經過雙方同意下且經由客戶授權,服務過程中可能造成資訊環境設備、電腦效能降低、或暫時性中斷、產生大量事件或警示而造成磁碟空間不足的狀況須被客戶所接受 。
訂定規則:講好哪些滲透方式可以作,哪些不能作?
例如:
  • 入侵取得權限後、是否可持續在內部擴張權限?
  • 是否可安裝 「後門程式」、「木馬程式」?
  • 是否可置換頁面資訊?是否可採用大量網路封包?
  • 是否可放資料進資料庫或是系統內?

 

⧫ 制定攻擊計畫

組織技術團隊、選用適當之滲透測試工具、方法並定制定攻擊策略。
針對不同系統、受測方式,選用的策略也不盡相同。
例如:
  • 內部網路的滲透就須要採用監聽、後門程式。
  • 外部網站的滲透就很重視功能面的錯誤、或是程式弱點。

 

⧫ 技術性掃描與資訊蒐集

透過任何方式(技術性、非技術性、網路搜尋)去蒐集受測系統的所有資訊。
例如:
服務項目、系統平台(Windows或是Linux..)、程式語言(php、jsp、asp.net、C#)、既有的版本漏洞、網站與網站的關聯(摸索內部網路)、或是簡易測試資料流的傳遞、介接以深入瞭解內部運作。

 

⧫ 找出漏洞、弱點或取得權限

依據前一個階段「技術性掃描與資訊蒐集」所得到的資訊,再透過多項適用之網路工具(付費、免費,例:Nessus、nmap、webinspect、wireshark、google…等)、攻擊方法交叉混合使用進一步找出可能或已知的漏洞或弱點後,嘗試取得權限與擴張權限,建立「立足點」。

 

⧫ 產製滲透測試結果報告

依據滲透測試所得到的資訊進行報告的產出,通常核心內容都會以高、中、低三個等級的風險來進行呈現與說明。

例如:

  • SQL Injection (結構化查詢語言的攻擊注入) 高風險 有可能造成資料庫內會員交易資料遭受破壞、竄改、取得。
  • Script Error 中風險使用者輸入資料格式錯誤可能造成網站回應過慢、或是頁面錯誤的風險。
  • 網路路徑追蹤(路由追蹤) 低風險可藉由tracert或是traceroute的指令追蹤網站位置。
 
 
 
創作者介紹
創作者 萬弘資訊 ISO 27001:2022認證費用50萬至170萬 的頭像
ISO27001輔導認證

萬弘資訊 ISO 27001:2022認證費用50萬至170萬

ISO27001輔導認證 發表在 痞客邦 留言(0) 人氣( 881 )

▲top

請先 登入 以發表留言。