滲透測試資訊安全顧問服務
TRANSCRIPT
圖文/萬弘資訊所有 http://www.wanhung.com.tw
滲透測試資訊安全顧問簡述 連絡人:萬弘資訊顧問周世洪先生
Email:[email protected]
Web:http://www.wanhung.com.tw
Lineid:wanhung1911
1
圖文/萬弘資訊所有 http://www.wanhung.com.tw
定義:
用技術、用方法、用工具找出目前受測單位內資訊環境的弱點與漏洞,進而取得權限甚至擴張權限。
目的
透過滲透測試可預先找出可能的弱點或漏洞,以加強弱點修補或安全強化。
分類
白箱測試:預先了解受測單位的環境、架構、系統、程式後,進行邏輯性、流程面、資料流動串接的弱點分析與測試。(多數人認為於開發階段進行)
黑箱測試:僅由受測單位提供網址或是IP,就直接模擬駭客手法開始測試。(業界多數採黑箱)
2
何謂滲透測試
圖文/萬弘資訊所有 http://www.wanhung.com.tw
合約簽署與訂定規則階段
合約簽署(指授權書):本階段是讓受測單位(即客戶端人員)了解、同意此滲透測試的執行是經過雙方同意下且經由客戶授權,服務過程中可能造成資訊環境設備、電腦效能降低、或暫時性中斷、產生大量事件或警示而造成磁碟空間不足的狀況須被客戶所接受 。
訂定規則:講好哪些滲透方式可以作,哪些不能作?
例如:入侵取得權限後、是否可持續在內部擴張權限?
或是是否可安裝 「後門程式」、「木馬程式」、或是
是否可置換頁面資訊、是否可採用大量網路封包、是
否可放資料進資料庫或是系統內。
4
圖文/萬弘資訊所有 http://www.wanhung.com.tw
制定攻擊計畫
說明:
組織技術團隊、選用適當之滲透測試工具、方法並定制定攻擊策略。
針對不同系統、受測方式,選用的策略也不盡相同。
組團隊
選工具/方法
定策略
5
圖文/萬弘資訊所有 http://www.wanhung.com.tw
技術性掃描與資訊蒐集
說明:透過任何方式(技術性、非技術性、網路搜尋)去蒐集受測系統的所有資訊,例如: 服務項目、系統平台(Windows或是Linux..)、程式語言(php、jsp、asp.net、C#)、既有的版本漏洞、網站與網站的關聯(摸索內部網路)、或是簡易測試掌握資料流的傳遞、介接進行方發。
6
圖文/萬弘資訊所有 http://www.wanhung.com.tw
找出漏洞、弱點或取得權限
說明:依據前一個階段「技術性掃描與資訊蒐集」所得到的資訊,再透過多項適用之網路工具(付費、免費,例:Nessus、nmap、webinspect、wireshark、google…等)、攻擊方法交叉混合使用進一步找出可能或已知的漏洞或弱點後,嘗試取得權限與擴張權限,建立「立足點」。
7
圖文/萬弘資訊所有 http://www.wanhung.com.tw
產製滲透測試結果報告
說明:依據滲透測試所得到的資訊進行報告的產出,通常核心內容都會以高、中、低三個等級的風險來進行呈現與說明。
例:SQL Injection (結構化查詢語言的攻擊注入)
高風險:有可能造成資料庫內會員交易資料遭受破壞、竄改、取得。
例:Script Error
中風險:使用者輸入資料格式錯誤可能造成網站回應過慢、或是頁面錯誤的風險。
例:網路路徑追蹤(路由追蹤)
低風險:可藉由tracert或是traceroute的指令追蹤網站位置。
8
圖文/萬弘資訊所有 http://www.wanhung.com.tw
資訊安全顧問服務輔導(萬弘資訊首頁)
SO27001:2013資安管理制度顧問輔導(資安顧問服務)
資訊安全風險管理顧問服務(資安顧問服務)
資訊安全風險管理與營運持續管理(資安顧問服務)
資訊安全營運持續管理(資安顧問服務)
資訊安全顧問服務檢測說明
資訊安全服務與文章
圖文/萬弘資訊所有 http://www.wanhung.com.tw
ISO27001pdf
ISO27001:2013資安管理制度相關文章
ISO 27001:2013資訊安管理系統新版控制項介紹
資訊安全管理系統ISO 27001:2013本文簡介
ISO 27001:2005與ISO 27001:2013重點差異說明pdf
ISO 27001:2013資訊安全管理系統
資訊安全服務與文章
圖文/萬弘資訊所有 http://www.wanhung.com.tw
個資委外監督稽核查核服務(資安顧問服務)
網路個資刪除移除服務與諮詢(資安顧問服務)
個資管理制度輔導(資安顧問服務)
個資風險管理評估服務(資安顧問服務)
個人資料管理制度輔導(資安顧問服務)
個資保護服務與文章
圖文/萬弘資訊所有 http://www.wanhung.com.tw
建立產生線上QR code製作
實用資訊分享(Android app、雲端服務、小工具)
密碼保護
線上知識資源分享(SlideShare)
實用資訊提供
圖文/萬弘資訊所有 http://www.wanhung.com.tw
資訊安全案例(Virus shield)資安顧問提供
最大風險說明與實務經驗分享
資訊安全例例_申請網上支付
個資管理制度與品牌
資訊安全案例
圖文/萬弘資訊所有 http://www.wanhung.com.tw
資訊安全範例分享(資安顧問提供)
whoscall個資外洩與追蹤(資安顧問案例)
資訊安全內部稽核案例(資安顧問服務)
資訊安全內部稽核實務(備份)_資安顧問觀點
資訊安全案例分享
圖文/萬弘資訊所有 http://www.wanhung.com.tw
ISO 27001:2013資安管理制度建置實務
ISO 27001:2013轉版教育訓練
ISO顧問輔導曁終身學習教育訓練粉絲頁(FB)
師資專區
教育訓練專區