有人試圖 hack 入你嘅公司網站之前,你唔會知道公司網站有幾安全。而公司網站嘅數據庫儲存咗大量公司機密文件、客戶同員工嘅私隱,你真係要諗諗點樣防止比黑客入侵網站喇🫨除咗定期做嘅弱點掃描之外,仲有滲透測試(Penetration Testing)可以做❗用三分鐘時間一齊了解吓啦👇🏻
🌟咩係滲透測試(Penetration Testing)❓
佢係一種安全測試,模擬 hacker 嘅惡意思維,諗辦法 hack 入主機同網站,搵出系統嘅漏洞同薄弱之處,再去分析測試目標嘅風險等級,然後再去做一啲加強網絡安全嘅措施。
就好似神秘顧客咁,嘗試唔同刁鑽嘅方法去測試員工嘅服務態度同質素,如果員工質素唔得,咁公司就可以就番唔同方面去做培訓。
🌟滲透測試流程
1️⃣ 準備階段:
測試人員會確定模擬攻擊嘅計劃、目標範圍,例如 Domain、IP位置等,以及時間,再根據番國際規範 OWASP 同 OSSTMM 嘅測試安全指南去一步步建立執行架構同策略、資料搜集、分析同目標滲透嘅步驟,再測試有冇洩漏敏感資料或者系統訊息。
2️⃣ 弱點掃描:
透過收集番嚟嘅所有資料,識別吓有冇漏洞同弱點嘅存在。除咗手動測試之外,亦可以用弱點掃描工具做輔助,例如針對系統弱點掃描嘅 Open-VAS 同 Nessus,針對網站安全弱點掃描嘅 AWVS 同 OWASP ZAP 嘅工具。
3️⃣ 攻擊階段:
喺上一個階段搵到嘅漏洞同弱點就會喺呢個階段去確認呢啲漏洞嘅風險同危險性,再用唔同嘅測試方法去分析弱點同漏洞,評估佢嘅危害性,例如一啲超大風險嘅漏洞可能會比 hacker 遠端控制去執行唔好嘅指令,又或者可以隨便存取、修改同刪除公司內部嘅敏感資料。
4️⃣ 報告階段:
根據番測試嘅結果,寫一份報告比番公司去了解發現嘅漏洞同危害,再提供番一啲建議嘅解決方案比公司嘅開發人員去改進同修復。修復完之後會復測一次睇吓仲有冇問題。
相信有老闆Ssss又會擔心做呢個測試係模仿 hacker 去攻擊網站同系統,咁公司嘅資料同系統又會唔會造成破壞呢?大家可以放心❗滲透測試嘅目的只係測試網站同系統嘅安全性,同埋入侵嘅可能性,所以用嘅方法同工具都比較安全,唔會造成服務停止同系統損毀㗎😎