本文件介绍了万弘资讯的渗透测试服务，定义了渗透测试的目的和分类，包括白箱测试和黑箱测试。其执行流程包括合约签署、攻击计划制定、信息收集、漏洞发现及结果报告生成，同时强调了风险等级的分类与评估。文中还提供了额外的安全咨询服务和相关资源的信息。

1. 圖文/萬弘資訊所有 http://www.wanhung.com.tw
滲透測試資訊安全顧問簡述
連絡人：萬弘資訊顧問周世洪先生
Email：sales@wanhung.com.tw
Web：http://www.wanhung.com.tw
Lineid:wanhung1911
1

2. 圖文/萬弘資訊所有 http://www.wanhung.com.tw
 定義:
 用技術、用方法、用工具找出目前受測單位內資訊環
境的弱點與漏洞,進而取得權限甚至擴張權限。
 目的
 透過滲透測試可預先找出可能的弱點或漏洞，以加強
弱點修補或安全強化。
 分類
 白箱測試:預先了解受測單位的環境、架構、系統、程
式後，進行邏輯性、流程面、資料流動串接的弱點分
析與測試。(多數人認為於開發階段進行)
 黑箱測試:僅由受測單位提供網址或是IP，就直接模擬
駭客手法開始測試。(業界多數採黑箱)
2
何謂滲透測試

3. 圖文/萬弘資訊所有 http://www.wanhung.com.tw
滲透測試執行流程圖
3
 各階段作業
參考後方投影
片

4. 圖文/萬弘資訊所有 http://www.wanhung.com.tw
合約簽署與訂定規則階段
 合約簽署(指授權書)：本階段是讓受測單位(即客戶端人
員)了解、同意此滲透測試的執行是經過雙方同意下且經
由客戶授權，服務過程中可能造成資訊環境設備、電腦
效能降低、或暫時性中斷、產生大量事件或警示而造成
磁碟空間不足的狀況須被客戶所接受 。
 訂定規則:講好哪些滲透方式可以作，哪些不能作？
例如:入侵取得權限後、是否可持續在內部擴張權限？
或是是否可安裝 「後門程式」、「木馬程式」、或是
是否可置換頁面資訊、是否可採用大量網路封包、是
否可放資料進資料庫或是系統內。
4

5. 圖文/萬弘資訊所有 http://www.wanhung.com.tw
制定攻擊計畫
 說明：
 組織技術團隊、選用適當之滲
透測試工具、方法並定制定攻
擊策略。
 針對不同系統、受測方式，選
用的策略也不盡相同。
組團隊
選工具/方法
定策略
5

6. 圖文/萬弘資訊所有 http://www.wanhung.com.tw
技術性掃描與資訊蒐集
 說明：透過任何方式（技術性、
非技術性、網路搜尋)去蒐集受測
系統的所有資訊，例如: 服務項目、
系統平台(Windows或是Linux..)、
程式語言(php、jsp、asp.net、C#)、
既有的版本漏洞、網站與網站的
關聯(摸索內部網路)、或是簡易測
試掌握資料流的傳遞、介接進行
方發。
6

7. 圖文/萬弘資訊所有 http://www.wanhung.com.tw
找出漏洞、弱點或取得權限
 說明：依據前一個階段「技
術性掃描與資訊蒐集」所得
到的資訊，再透過多項適用
之網路工具(付費、免費，
例:Nessus、nmap、
webinspect、wireshark、
google…等)、攻擊方法交叉
混合使用進一步找出可能或
已知的漏洞或弱點後，嘗試
取得權限與擴張權限，建立
「立足點」。
7

8. 圖文/萬弘資訊所有 http://www.wanhung.com.tw
產製滲透測試結果報告
 說明：依據滲透測試所得到的資訊進行報告的產出，通
常核心內容都會以高、中、低三個等級的風險來進行呈
現與說明。
 例:SQL Injection (結構化查詢語言的攻擊注入)
 高風險:有可能造成資料庫內會員交易資料遭受破壞、竄改、取得。
 例:Script Error
 中風險:使用者輸入資料格式錯誤可能造成網站回應過
慢、或是頁面錯誤的風險。
 例:網路路徑追蹤(路由追蹤)
 低風險:可藉由tracert或是traceroute的指令追蹤網站位
置。
8

9. 完整資訊提供

10. 圖文/萬弘資訊所有 http://www.wanhung.com.tw
 資訊安全顧問服務輔導(萬弘資訊首頁)
 SO27001:2013資安管理制度顧問輔導(資安顧問服務)
 資訊安全風險管理顧問服務(資安顧問服務)
 資訊安全風險管理與營運持續管理(資安顧問服務)
 資訊安全營運持續管理(資安顧問服務)
 資訊安全顧問服務檢測說明
資訊安全服務與文章

11. 圖文/萬弘資訊所有 http://www.wanhung.com.tw
 ISO27001pdf
 ISO27001:2013資安管理制度相關文章
 ISO 27001:2013資訊安管理系統新版控制項介紹
 資訊安全管理系統ISO 27001:2013本文簡介
 ISO 27001:2005與ISO 27001:2013重點差異說明pdf
 ISO 27001:2013資訊安全管理系統
資訊安全服務與文章

12. 圖文/萬弘資訊所有 http://www.wanhung.com.tw
 個資委外監督稽核查核服務(資安顧問服務)
 網路個資刪除移除服務與諮詢(資安顧問服務)
 個資管理制度輔導(資安顧問服務)
 個資風險管理評估服務(資安顧問服務)
 個人資料管理制度輔導(資安顧問服務)
個資保護服務與文章

13. 圖文/萬弘資訊所有 http://www.wanhung.com.tw
 建立產生線上QR code製作
 實用資訊分享(Android app、雲端服務、小工
具)
 密碼保護
 線上知識資源分享(SlideShare)
實用資訊提供

14. 圖文/萬弘資訊所有 http://www.wanhung.com.tw
 資訊安全案例(Virus shield)資安顧問提供
 最大風險說明與實務經驗分享
 資訊安全例例_申請網上支付
 個資管理制度與品牌
資訊安全案例

15. 圖文/萬弘資訊所有 http://www.wanhung.com.tw
 資訊安全範例分享(資安顧問提供)
 whoscall個資外洩與追蹤(資安顧問案例)
 資訊安全內部稽核案例(資安顧問服務)
 資訊安全內部稽核實務(備份)_資安顧問觀點
資訊安全案例分享

16. 圖文/萬弘資訊所有 http://www.wanhung.com.tw
 ISO 27001:2013資安管理制度建置實務
 ISO 27001:2013轉版教育訓練
 ISO顧問輔導曁終身學習教育訓練粉絲頁(FB)
 師資專區
教育訓練專區