滲透測試
什麼是滲透測試?
如果用一句話來定義滲透測試,就是模擬駭客的思維,想辦法入侵主機和網站,進而分析受測目標的風險層級。
講解詳細一點,滲透測試這項任務,是由被測試的客戶環境目標請託具備網路及資安知識的團隊,不論是網路服務、軟體、硬體、韌體等,利用駭客的想法去規劃執行的內容與先後順序,通常會用對企業營運的影響程度,判定其優先等級,最終目的不是攻陷網站,而是在預防真正受到攻擊之前,及早發現系統漏洞,並加以改善修正,幫助受測者改善網站的弱點,產生出有價值的報告。
為什麼需要滲透測試?
以生活來舉例,假如出門的時候忘了鎖門,這個行爲容易讓有心人士輕而一舉的進入家裡進行竊取,同樣的,當你的網站缺少足夠的安全性和保護的時候,就像家門沒有上鎖一樣,你的數據和資訊很容易會被無良的駭客竊取。
不過,雖然測試人員也會像駭客盜入網站一樣進入公司網路系統,但這與駭客攻擊的性質是完全不一樣的。
測試人員和駭客之間最重要的區別就是
測試人員:不會刪除任何資訊,並且會提示開發者,漏洞在哪裡讓開發者知道如何去解決。
駭客:會利用和盜取所有有價值的條件,去攻擊開發者的網路。
