滲透測試服務
Penetration Testing
滲透測試係透過模擬駭客的攻擊方式,對目標主機或網路服務進行安全強度的測試,以找出可能的資安漏洞,並提出改善建議,並於協助修正資安漏洞後提供複測,以確認已經完成修正。
-
產品特色針對機關之伺服器/主機作業系統、應用軟體、網路服務、可提供聯網功能(配有IP)之物聯網設備(如:門禁設備、網路印表機、網路視訊攝影機(IPCAM)等安全弱點與漏洞,進行滲透或穿透跳躍主機之入侵測試,設法取得未經授權之存取權限,並測試內部資訊是否有遭受不當揭露、竄改或竊取之可能性。
1、資料蒐集
對受測目標進行資料蒐集與資訊分析(如:嘗試至受測物聯網設備官方網站或透過網路資源取得韌體,以及對應之弱點資訊,若查無公開可下載之韌體或該韌體具保護機制,則蒐集該設備已知弱點資料),將取得之相關資訊做為執行滲透測試決策。
2、分析報告
測試作業後1個月內,根據測試結果,將所發現之弱點與過程詳細記錄(過程與結果需有佐證畫面),並對結果進行確認,降低誤判問題(false positive、false negative),提出相關建議與測試報告。
3、風險管理
在滲透測試執行期前,需提出對受測目標進行備份建議,避免發生非預期資料損毀或遺失等情形。在滲透測試執行期間,執行具侵入性質的檢測作業皆需與機關進行確認,並於雙方議定之適當時間且具備適當應變措施與風險評估後,才進行相關檢測作業。
-
產品規格
測 試 項 目
測試類型
測試類別
測試項目
作業系統
遠端服務
至少包含遠端服務套件弱點測試等項目
本機服務
在已取得系統控制權限的條件下,可執行至少包含本機服務套件弱點測試等項目
網站服務
設定管理
至少包含應用程式設定測試、檔案類型處理測試、網站檔案爬行測試、後端管理介面測試及HTTP協定測試等項目
使用者認證
至少包含機敏資料是否透過加密通道進行傳送及使用者帳號列舉測試等項目
連線管理
至少包含Session管理測試、Cookie屬性測試、Session資料更新測試、Session變數傳遞測試及CSRF測試等項目
使用者授權
至少包含目錄跨越測試、網站授權機制測試及權限控管機制測試等項目
邏輯漏洞
至少包含網站功能測試、網站功能設計缺失測試及附件上傳測試等項目
輸入驗證(1)
至少包含XSS漏洞測試、SQL Injection測試、LDAP Injection測試、XML Injection測試、SSI Injection測試、XPath Injection測試及Code Injection測試等項目
輸入驗證(2)
至少包含XSS漏洞測試、SQL Injection測試、OS Commanding測試及偽造HTTP協定測試等項目
Web Service
至少包含WSDL測試、XML架構測試、XML內容測試及XML參數傳遞測試等項目
Ajax
至少包含Ajax弱點測試等項目,如輸入驗證缺失、權限控管及套件弱點等測試項目
應用程式
電子郵件服務套件
至少包含SMTP、POP3及IMAP等常見對外郵件服務之弱點測試,如設定缺失、權限控管及套件弱點等測試項目
網站服務套件
包含常見WEB套件弱點測試,如設定缺失、權限控管及套件弱點等測試項目
檔案傳檔服務套件
至少包含FTP、NETBIOS及NFS等常見檔案傳輸服務之弱點測試,如設定缺失、權限控管及套件弱點等測試項目
遠端連線服務套件
至少包含SSH、TELNET、VNC及RDP等常見遠端連線服務之弱點測試,如設定缺失、權限控管及套件弱點等測試項目
網路服務套件
至少包含DNS、PROXY及SNMP等常見網路服務之弱點測試,如設定缺失、權限控管及套件弱點等測試項目
其它
包含Firewall、IDS/IPS、Database、LDAP、SMB、LPD、IPP、Jetdirect及RTSP等常見應用程式或網路套件之弱點檢測項目
密碼破解
密碼強度測試
至少包含WEB、FTP、SSH、TELNET、SMTP、POP3、IMAP、SNMP、NetBIOS、RDP、VNC及Database等常見對外服務之密碼字典檔測試
