弱點掃描 VS 滲透測試,有什麼差別呢?

資訊安全

弱點掃描VS滲透測試,有什麼差別呢?

網站上線前,必須要有資安觀念的培養

現在網站的應用對於全球的所有產業,已經基本算是必須品了。對外的網站,小至個人的作品集,大至大企業的形象或購物網站;對內的網站,小至小團隊的人資系統,大至上市櫃公司、醫院內部的巨大內網物流系統,都是駭客有可能可以侵入,調出有利資料的破口。

這時候,對於資安方面若有正確觀念,在未來若接觸到相關議題,可以相對一般人較熟練,或是對於網站的營運會有更多資安方面的考量,畢竟預防勝過治療,事情發生的時候通常都是來不及了,這篇文章將帶你了解網站在上線之前,必做的兩樣測試。

淺談弱點掃描和壓力測試的定義


弱點掃描和滲透測試都是資安領域中常見的安全檢測方法,兩者都旨在找出系統或應用程式中的安全漏洞,以降低被攻擊的風險。

弱點掃描:

弱點掃描是一種自動化的檢測方法,使用工具來掃描系統或應用程式,並根據已知的漏洞簽章來識別潛在的漏洞。
弱點掃描可以快速有效地找出大量的漏洞,但它也存在一些局限性:

  • 弱點掃描工具只能識別已知的漏洞,對於尚未被發現的漏洞則無能為力。

  • 弱點掃描工具可能產生誤報,即將一些無害的配置或程式碼片段誤認為漏洞。

  • 弱點掃描工具無法模擬攻擊者的行為,因此可能無法發現一些需要人工才能發現的漏洞。

滲透測試:

滲透測試是一種模擬攻擊者行為的安全檢測方法。 滲透測試人員會使用各種工具和技術來嘗試攻破系統或應用程式,並找出實際存在的安全漏洞。 滲透測試可以更全面地評估系統或應用程式的安全性。

國際常用的測試規範有 OWASP Checklist、OWASP ASVS、CWE/SANS Top 25 這幾種。

滲透測試比較依賴資安顧問本身的經驗以及知識,站在跟駭客同一個出發點對系統進行測試,因此更能準確的找出所有問題並進行修復。不過因爲滲透測試是非常細微的工程,無法一次做大規模站台的檢測。

兩者的區別比較

特性 弱點掃描 滲透測試
檢測方法 自動化 人工
檢測範圍 已知的漏洞 所有漏洞
準確性 較低 較高
效率 較高 較低
成本 較低 較高

工具的使用建議:

  • 對於新上線的系統或應用程式,建議先進行一次滲透測試,以找出潛在的安全漏洞。

  • 對於已在線運行的系統或應用程式,建議定期進行弱點掃描,以監控安全漏洞的狀況。

  • 對於高度機敏的系統或應用程式(例:人員薪資系統、金融相關交易系統),建議定期進行滲透測試,以確保其安全性。

一般在正常運行的網站,通常都會一季弱點掃描一次,定期確保網站的程式無相關漏洞。
不過也有可能因為網站撰寫的語言版本較舊,或是當時使用的套件也是較舊版本,而弱掃軟體已經是用新版本去掃描,這時就必須視情況判斷,是否當下接受此風險,或是考慮是否未來需要將整體網站語言,以最新版本重新撰寫、重新更新上線。

介紹最多人使用的檢測工具


最受歡迎的弱點掃描工具:Nessus、Nmap、OpenVAS


  1. Nessus是一款功能強大的弱點掃描工具,支持多種作業系統和應用程式。
    它提供了廣泛的漏洞檢測功能,包括:

    • 已知漏洞掃描
    • 應用程式漏洞掃描
    • 網路服務掃描
    • 系統配置掃描

  2. Nmap是一款免費的開放原始碼網路掃描工具。它可以掃描網路上所有主機和服務的端口,並提供有關這些主機和服務的詳細資訊。
    Nmap 常用於弱點掃描,但它也可以用於其他目的,例如網路管理和網絡安全研究。

  3. OpenVAS 是一款免費的開放原始碼弱點掃描工具。它提供了全面的漏洞檢測功能,包括:

    • 已知漏洞掃描
    • 應用程式漏洞掃描
    • 網路服務掃描
    • 系統配置掃描

最受歡迎的測試工具介紹:Metasploit、Burp Suite、Wireshark


  1. Metasploit 是一款功能強大的滲透測試框架。它提供了廣泛的滲透測試功能,包括:

    • 漏洞利用
    • 後門植入
    • 憑據盜竊
    • 會話劫持
    • 權限升級

  2. Burp Suite 是一款功能強大的 Web 應用程式滲透測試工具。它提供了廣泛的滲透測試功能,包括:

    • 代理伺服器
    • 掃描器
    • 嗅探器
    • Repeater
    • Intruder

  3. Wireshark 是一款功能強大的網路協議分析工具。它可以捕獲和分析網路流量,並提供有關網路流量的詳細資訊。
    Wireshark 常用於滲透測試,但它也可以用於其他目的,例如網絡故障排除和網絡取證。


這些工具之所以受歡迎,有以下幾個原因:

  • 功能強大:
    這些工具提供了廣泛的安全檢測功能,可以滿足大多數用戶的需求。

  • 易於使用:
    這些工具都提供了易於使用的使用者介面,即使是沒有太多安全經驗的用戶也可以輕鬆使用。

  • 免費或開源:
    這些工具中的一些是免費的,另一些是開源的,這使得它們對所有用戶都可訪問。


弱點掃描和滲透測試是否有一定依循的標準?


答案是否的,這兩者在執行時,並沒有規範一定要按照哪些項目去進行。
但若需要項目可以參考的話,文章內列出以下公認非常有指標性的框架可參考。


OWASP Top 10:


OWASP Top 10 (Open Web Application Security Project)是開放網路應用程式安全計畫的縮寫,
是一個非營利性的組織,致力於協助解決網路應用程式安全問題。
OWASP 每年都會發布一份Top 10 的網路應用程式安全風險清單,列出了當前最常見的 10 種網路應用程式安全弱點。
滲透測試人員可以根據 OWASP Top 10 來重點測試這些弱點。



OWASP Top 10 2021

ISO 27001:


ISO 27001 是一套國際標準化資訊安全管理系統(ISMS)標準,旨在幫助組織建立、實施、運作、監控、審查、維護和改進資訊安全管理系統。 ISO 27001 標準中包含了許多與滲透測試評估相關的項目,以下是一些主要的項目:


  • 風險評估:
    組織應進行風險評估,以識別資訊資產面臨的安全風險。滲透測試可以幫助組織驗證風險評估的結果,並找出可能被遺漏的安全漏洞。

  • 控制措施:
    組織應實施合適的控制措施來降低資訊安全風險。滲透測試可以幫助組織評估控制措施的有效性,並找出需要改進的地方。

  • 資訊安全意識培訓:
    組織應對員工進行資訊安全意識培訓,以提高員工的資訊安全意識。滲透測試可以幫助組織模擬社交工程攻擊,以測試員工的應對能力。

  • 事件響應:
    組織應制定事件響應計劃,以應對資訊安全事件。滲透測試可以幫助組織測試事件響應計劃的有效性。



總結來說,OWASP Top 10比較像是列出明確項目,可以針對每年度最新發布的常見手法來測試,並且預防。
而ISO 27001比較偏向事件若發生,不管有沒有駭客有沒有成功,都需要有一個完整的應對流程,來紀錄事件,並且提出有效的預防做法。
兩者搭配著做系統測試,相信在網站上線營運的過程中,已經充分的模擬許多狀況。


結語

本篇文章對於弱點掃描和滲透測試,其實都算是較基本的介紹,最重要的事情,其實是對網站和系統定期的維護,追蹤弱點是否有確實修補。


畢竟有在使用的網站相對於荒廢的舊網站,當然駭客會挑選較無人看守的做攻擊。因此如果棄置的網站或主機,請也務必要規劃後續的下櫃作業,以及硬碟實際的銷毀手續,才可能有機會避開大部分的駭客攻擊。


希望今天的文章能夠幫助到您,對於弱點掃描和滲透測試有了更多的了解!

文章編輯

文章編輯:Zoey Chou

圖文編輯:Ariel Kao

推薦文章

  • 什麼是生成式 AI?

    認識生成式 AI 的原理與應用,掌握人工智慧的最新趨勢。

    AI 應用

  • 如何驗證Email是否有效(無需實際寄信)

    學會如何驗證 Email 是否有效又準確,不需實際寄信也能確認地址真偽。本文教你5種簡單實用的方法,包含格式檢查、網域驗證與免費工具推薦,讓你輕鬆清理名單、提高寄信成功率。

    行銷自動化

如果您喜歡我們的文章,歡迎分享! 有相關問題也歡迎與我們聯繫