滲透測試 (Penetration Testing,簡稱Pen Test) ,是一種模擬駭客攻擊的行為,其目的是為了找出系統中存在的安全漏洞,評估系統的安全性,並提供改善建議。換句話說,滲透測試就是讓「白帽駭客」以黑帽駭客的方式來攻擊系統,找出系統的弱點。
Penetration Testing 的手法包含Vulnerability Testing,還有漏洞利用 (Exploitation),後門植入 (Backdoor Implantation),像是在目標系統中植入後門程式,以便後續進行遠端控制。難的是,要確保後門程式在系統重啟後仍然存在。一般來說,會用越權或權限提升 (Privilege Escalation)的手法,也就是從初始入侵點,向內部網路的其他系統擴展攻擊。有些像侵點獲取更高的系統權限,以執行更多的操作。還有是否直接有資料外洩 (Data Exfiltration)的狀態。
iThome鐵人賽
看影片追技術