滲透測試(penetration-testing),俗稱道德駭客(ethical hacking),是經過授權,對電腦系統進行的模擬網路攻擊,用於評估系統的安全性,為了證明網路防禦按照預期計劃正常執行而提供的一種機制。 -- Wiki (滲透測試 - 維基百科 )
在資安意識提昇的現在,所有系統都需要自證清白;所以滲透測試不在只是資安公司的專利,站台經營者也必須要/被要求,自我測試。
但是要如何進行? 原來在藍隊,要切換成紅隊,對自家的站台進行滲透;我們提出5個主要步驟:規劃與偵查、測試分析與蒐集、攻擊漏洞、評估影響、分析報告。
滲透測試5步驟
規劃與偵查
規劃好測試的目標與偵查情報。測試分析與蒐集
使用掃描工具來瞭解目標將如何響應各種入侵嘗試。攻擊漏洞
使用Web應用程序攻擊來發現目標的漏洞。評估影響
使用持續性滲透攻擊並評估該漏洞是否可維持存取權限。- 分析報告
執行下次測試前,分析結果並調整Web應用防火牆。
滲透測試基本流程(A Basic Penetration Test)
經由我們協助出貨產品的滲透經驗,整理出來滲透測試流程:
Explore
Spider
Force Browse
Active Scan
Manual Test
