企業 / 機關透過網頁應用程式與應用系統,讓員工、消費者、社會大眾可以透過該應用程式,與企業 / 機關進行互動,讓 e化 / M化的角度加深雙方之間的服務、金流往來。
新聞報導經常出現企業與機關被駭客入侵,多數單位花費大量金錢,購買防火牆、入侵偵測系統、網頁監控工具,甚至自行建置或委外請 SI 廠商進行24小時安全監控。但是這些就真的夠了嗎?知名銀行與電子公司,在被駭客入侵後,花費上千萬建置與採購資訊安全軟硬體設備,事後證實平白花錢,駭客仍然可以輕鬆入侵。
目前刑事局逮捕的駭客,很多人是透過網路,或是購買一本書籍,按照這些教學入侵網站成功,甚至某些駭客連電腦使用都沒有各機關資訊人員那麼專業,為什麼這些人可以對企業 / 機關造成傷害?
賽博韓特滲透測試與攻防演練服務,透過專業的資訊安全專家,以模擬駭客的攻擊手法,針對企業 / 機關的網頁應用程式與應用系統、網路環境,進行健康檢查,提早找出企業 / 機關資訊安全防護的風險所在,並依據風險高低,提供最適當之建議與改善方案。
滲透測試與攻防演練服務依據檢測對象而有所不同,但至少包含下列檢查手法與項目:
(1) 透過網路蒐集目標主機資料
- Google Hacking
- 機密資訊不當外洩檢測
(2) 通訊與服務連接埠掃描
(3) 分析弱點與潛在漏洞
(4) 進行滲透測試
- 針對服務連接埠,進行已知漏洞測試。
- 針對未知的漏洞,利用顧問專業經驗,進行測試。
- 權限提昇。
(5) 網頁程式入侵
(6) 網頁程式邏輯測試
(7) 阻斷服務(DoS)測試
賽博韓特針對網頁應用程式測試,依據OWASP Testing Guide v4,設計特有的方法論,以協助客戶找到網頁應用程式可能衍生的漏洞與安全問題。
