終於到了倒數第二篇了，今天的文章說是為了滲透測試的流程，做了一下整理，當然每一個人在滲透測試的時候情況可能會不一定。

前期準備

• 會提到開發能力，或多或少你需要會看得懂程式碼或是撰寫一些小工具，而我本身在資工系學習：C語言、C++、JAVA，自學 Python，在自我練習的期間學會如何看 PHP，當然你可能會學到 Linux Shell 怎麼寫，PowerShell 怎麼使用，總之多學程式語言不是壞事。
• 基本知識可以等同這個系列前面所介紹的 HTML、HTTP、通訊與網路概論，如果你要談及資訊安全概論，不外乎就是從認識資訊安全的三大目的（ＣＩＡ），也就是機密性、完整性、可用性，因為資訊安全的目標就是要保護資料的機密性、完整性、可用性，如果是針對企業還要遵循法規，比如台灣個資法或是歐盟 GDPR。
  • 機密性就會談及密碼學加解密的技術以及權限的存取控制
  • 完整性會談到雜湊函數、數位簽章與權限存取控制
  • 可用性會提到系統的容量規劃與備份和備援、負載平衡等與權限存取控制
• 除了談談 CIA 還會學習資安風險、資安威脅、安全要求、資產、資產價值、控制措施，這就是所謂的資安管理的教學內容。
  • 資產：對組織有價值的實體或資源（人、軟體、設備、服務等）
  • 弱點：資產本身具備的脆弱點，發生的話可能造成 CIA 的損失
  • 威脅：資產於外在揭露的實體
  • 風險：當威脅成功造成弱點發生後，產生的損害程度
  • 控制措施：降低風險發生的措施或防護方式
• 法律：我國訂定「資通安全管理法」、「國家機密保護法」、「個人資料保護法」、「行政院各機關的資訊安全管理要點」、「27000 系列的資安標準」等
  • GDPR：被遺忘權、個資可攜權、資訊取得權、個資處理反對權、個資處理限制權
• 關於資訊安全風險管理的部分，這邊僅簡單列幾個關鍵字供大家參考
  • 威脅有機率導致弱點產生衝擊，造成資產有風險
  • 風險 = 衝擊 x 可能性(機率)
  • 資安風險管理架構與標準
    • NIST SP800-39 資訊系統風險管理參考指引
    • ISO 27005 資安風險管理指引
    • ISO 31010:2009
  • 風險評鑑：風險識別、風險分析、風險評估
  • 災害復原計畫(Disaster Recovery Plan，DRP)
  • 業務永續運作計畫(Business Continuity Plan，BCP)
  • 營運衝擊分析(Business Impact Analysis，BIA)
  • 評估最大可容許中斷的時間(Maximum Tolerable Downtime，MTD)
  • 日常維運、監控異常、稽核紀錄、弱點評估
  • GCB：政府組態基準，幫助簡化組態管理，規範終端一致性安全設定

滲透測試

• 目的就是模擬駭客可能會入侵的手法來檢測系統、網站的安全性
  • 如何開始，滲透測試前要先跟客戶確認目標、範圍
    • 
    • 建議滲透方準備確認表格與客戶確認需求
    • 雙方確認好便可進行簽約，簽約非常重要，可以保障雙方
• 滲透測試的分類
  • 
  • 黑貓白貓只要是會抓老鼠就是好貓
  • 黑箱白箱傻傻分不清楚
• 滲透測試的範圍
  • 
  • 雖然沒有絕對的區分，但是可以大略分成 Server 與 網站應用程式
  • 這些範圍也是需要跟客戶談好可以攻擊到哪個程度
• 以 testphp.vulnweb.com 為範例
  • 該網站為 Acunetix 為了測試自家產品 Web Vulnerability Scanner 所開發的測試網站
• 進入 Recon 收集階段
  • 
    • 透過 nslookup 查看 IP 位置
  • 
    • 使用 nmap 進行端口掃描
  • 
    • 查看封包回傳的標頭內容
  • 
    • 透過 Chrome 擴充程式查看目標網站的資訊
  • 
    • Google Hacking
    • Google 永遠是你的好幫手
  • 
    • 公開資訊情蒐
  • 
    • 整理公開資訊
  • 
    • 弱點掃描
• 我們透過以上的工具可以取得目標網站的基本資訊，當然還有許多工具可以使用，且我們介紹的工具還有很多進階的使用方法，大家可以自行 Google 查看工具的詳細使用方式。
• 針對 Server 的弱點
  • 
    • 可以檢測的弱點類型
  • 
    • 可能造成弱點的地方
  • 
    • 常使用的工具
• 弱點利用與提權階段
  • 取得網站基本資訊，可以了解網站的架構，也會透過繪製網站的地圖，紀錄 路徑、參數、說明、方法(POST,GET)等
  • 再來就是透過我們前面所介紹的網站弱點去進一步的檢測
  • 並不是每一次的滲透測試都需要取得最高權限，一切皆以當初簽約與客戶談的內容為主，若客戶不能接受取得權限，滲透測試人員就不該繼續攻擊。
• 整理檢測到的弱點
  • 弱點種類
  • 弱點說明
  • 弱點截圖
  • CVSS 分數
  • 弱點危害
  • 修復建議
• 撰寫報告
  • 報告內要提到檢測目標與範圍與執行期間
  • 怎麼檢測的方法與流程
  • 結果列表與說明
  • 修正建議
  • 結論
  • 
    • http://weblab.feifei.com.tw/pt.html
    • 這篇報告應該 2017 年所撰寫的，請鞭小力一點 XD
• 最後就看簽約有沒有包含複測與複測報告