網站滲透測試費用
核心系統網站滲透測試費用為新台幣10萬元(未稅)100,000~16萬元(未稅)160,000之間
,1個網站網址(例如:https://www.wanhung.com.tw 或是 https://iso27001.wanhung.com.tw)的滲透測試約執行5-7個工作天,不到場執行檢測並產製報告。
包含OWASP TOP 10重大安全弱點之檢測 (包括:SQL Injection 、XSS、未授權存取....等),排除誤判。
(備註:網站滲透測試已包含網站弱點掃描)
何謂滲透測試
用技術、用方法、用工具找出目前受測單位內資訊環境的弱點與漏洞,進而取得權限甚至擴張權限。
滲透測試目的
透過滲透測試可預先找出可能的弱點或漏洞,以加強弱點修補或安全強化。
何謂滲透測試分類
- 白箱:預先了解受測單位的環境、架構、系統、程式後,進行邏輯性、流程面、資料流動串接的弱點分析與測試。(多數人認為於開發階段進行)
- 黑箱:由受測單位提供網址或是IP,就直接模擬駭客手法開始測試。(業界多數採黑箱)
滲透測試流程
合約簽署與訂定規則
本階段是讓受測單位(即客戶端人員)了解、同意此滲透測試的執行是經過雙方同意下且經由客戶授權,
服務過程中可能造成資訊環境設備、電腦效能降低、或暫時性中斷、產生大量事件或警示而造成磁碟空間不足的狀況須被客戶所接受 。
訂定規則:講好哪些滲透方式可以作,哪些不能作?
例如:入侵取得權限後、是否可持續在內部擴張權限?
或是是否可安裝 「後門程式」、「木馬程式」、或是
是否可置換頁面資訊、是否可採用大量網路封包、是
否可放資料進資料庫或是系統內。
訂定規則:講好哪些滲透方式可以作,哪些不能作?
例如:入侵取得權限後、是否可持續在內部擴張權限?
或是是否可安裝 「後門程式」、「木馬程式」、或是
是否可置換頁面資訊、是否可採用大量網路封包、是
否可放資料進資料庫或是系統內。
制定攻擊計畫
組織技術團隊、選用適當之滲透測試工具、方法並定制定攻擊策略。
針對不同系統、受測方式,選用的策略也不盡相同。
例:內部網路的滲透就須要採用監聽、後門程式。
例:外部網站的滲透就很重視功能面的錯誤、或是程式弱點。
技術性掃描與資訊蒐集
透過任何方式(技術性、非技術性、網路搜尋)去蒐集受測系統的所有資訊,例如: 服務項目、系統平台(Windows或是Linux..)、程式語言(php、jsp、asp.net、C#)、既有的版本漏洞、網站與網站的關聯(摸索內部網路)、或是簡易測試資料流的傳遞、介接以深入瞭解內部運作。
找出漏洞、弱點或取得權限
依據前一個階段「技術性掃描與資訊蒐集」所得到的資訊,再透過多項適用之網路工具(付費、免費,例:Nessus、nmap、webinspect、wireshark、google…等)、攻擊方法交叉混合使用進一步找出可能或已知的漏洞或弱點後,嘗試取得權限與擴張權限,建立「立足點」。
產製滲透測試結果報告
依據滲透測試所得到的資訊進行報告的產出,通常核心內容都會以高、中、低三個等級的風險來進行呈現與說明。
- 例:SQL Injection (結構化查詢語言的攻擊注入) 高風險:有可能造成資料庫內會員交易資料遭受破壞、竄改、取得。
- 例:Script Error 中風險:使用者輸入資料格式錯誤可能造成網站回應過慢、或是頁面錯誤的風險。
- 例:網路路徑追蹤(路由追蹤) 低風險:可藉由tracert或是traceroute的指令追蹤網站位置。