滲透測試服務

滲透測試透過模擬駭客攻擊行為,測試目標主機與網路服務的安全強度,找出潛在弱點並提供改善建議。完成修補後,再進行複測,確認漏洞已被有效修正

針對伺服器作業系統、應用程式、網路服務及連網 IoT 設備(如門禁系統、網路印表機、攝影機、無線 AP/路由器與機房環控系統)進行滲透測試,透過模擬入侵或跳板攻擊,驗證是否能取得未授權存取權限,並檢測內部資訊是否易於被揭露、竄改或竊取

滲透測試分為內網與外網兩種方式,首先進行資料蒐集與資訊分析,作為後續測試決策依據

測試次數
訂購後半年內提供 2 次滲透測試服務(初測與複測)
分析報告
測試結束後 1 個月內,提供詳細報告,記錄發現的弱點與測試過程(附佐證畫面),確認結果以降低誤判(false positive / false negative),並提出改善建議。對於不適用的測試項目,將註明並說明原因
風險管理
在測試前提供備份建議,以避免資料遺失或損毀。測試期間如執行侵入性操作,將先與客戶確認,於雙方議定的時間點並完成風險評估與應變措施後再行執行

5. 系統滲透測試項目
作業系統
. 遠端服務-至少包含遠端服務套件弱點測試等項目
. 本機服務-在已取得系統控制權限的條件下,可執行至少包含本機服務套件弱點測試等項目

網站服務
. 設定管理-至少包含應用程式設定測試、檔案類型處理測試、網站檔案爬行測試、後端管理介面測試及HTTP協定測試等項目
. 使用者認證-至少包含機敏資料是否透過加密通道進行傳送及使用者帳號列舉測試等項目
. 連線管理-至少包含Session管理測試、Cookie屬性測試、Session資料更新測試、Session變數傳遞測試及CSRF測試等項目
. 使用者授權-至少包含目錄跨越測試、網站授權機制測試及權限控管機制測試等項目
. 邏輯漏洞-至少包含網站功能測試、網站功能設計缺失測試及附件上傳測試等項目輸入驗證-至少包含XSS漏洞測試、SQL Injection測試、LDAP Injection測試、XML Injection測試、SSI Injection測試、XPath Injection測試、Code Injection、OS Commanding測試及偽造HTTP協定測試等項目
. Web Service-至少包含WSDL測試、XML架構測試、XML內容測試及XML參數傳遞測試等項目
. Ajax-至少包含Ajax弱點測試等項目,如輸入驗證缺失、權限控管及套件弱點等測試項目

應用程式
. 電子郵件服務套件-至少包含SMTP、POP3及IMAP等常見對外郵件服務之弱點測試,如設定缺失、權限控管及套件弱點等測試項目
. 網站服務套件-包含常見WEB套件弱點測試,如設定缺失、權限控管及套件弱點等測試項目
. 檔案傳檔服務套件-至少包含SSH、TELNET、VNC及RDP等常見遠端連線服務之弱點測試,如設定缺失、權限控管及套件弱點等測試項目
. 網路服務套件-至少包含DNS、PROXY及SNMP等常見網路服務之弱點測試,如設定缺失、權限控管及套件弱點等測試項目
. 其他-包含Firewall、IDS/IPS、Database、LDAP、SMB、LPD、IPP、Jetdirect及RTSP等常見應用程式或網路套件之弱點掃描項目

密碼破解
. 密碼強度測試-至少包含WEB、FTP、SSH、TELNET、SMTP、POP3、IMAP、SNMP、NetBIOS、RDP、VNC及Database等常見對外服務之密碼字典檔測試

無線服務
. 無線服務弱點測試-到場服務的條件下,包含無線服務套件弱點測試與WiFi密碼字典檔測試等項目

返回列表