2009年5月23日 星期六

滲透測試之全民公測 (Open Penetration Test)

滲透測試 (Penetration Test),直到目前為止仍沒有一個標準的定義。比較大的共識應該是:以駭客的角度,由外部對目標網路環境進行滲透,找出任何可進行利用之弱點、漏洞或錯誤...等,並將結果回報。

隨著地下經濟的發展與資安觀念的不斷演變,滲透測試也面臨一些角色的轉變。早期滲透測試主要找系統面的漏洞居多,一方面是當時網站還屬靜態居多,且防火牆觀念並不發達,所以主要都是蠕蟲氾濫的系統漏洞問題,滲透測試的攻擊目標往往也都在這方面。現今,網站變動態網頁居多了,IPS&FW也建置部署了,系統自動更新機制也頗完善,系統漏洞已經不易直接攻擊,面臨的幾乎都是網站的威脅,加上 Web2.0&3.0...,攻擊方式更複雜,所以滲透測試的目標也漸漸轉移到網站上。未來呢?系統應用程式的挑戰?雲端的挑戰?滲透測試也會有新的面貌出現的。