滲透測試案例：跨國集團周年網絡安全檢查

網絡安全只有更好，沒有最好

不少公司設有網絡安全部門，惟某些行業的監管機構或資安公司規定要找第三方做網絡安全檢查，確保有能力應付駭客威脅。因為即使是老牌資安公司，很可能只會當作例行公事，循例按清單檢查，未必會或有能力作深入的網絡偵查測試。要真正徹底解決保安問題，需要真正有多年經驗作滲透測試的「白帽駭客」出手。

客戶背景

客戶是一間大型環球商業集團，經營地產、商場、食肆等多方面業務，每年均需要進行為全公司內外的所有系統，進行為期3個月的年度檢查，當中多達100個域名，包括購物網站、手機程式和內部員工系統，另外亦要事前為公司活動檢查測試，以符合監管要求及保障活動所得資料不會外洩。因此主動找UDomain要求為其提供滲透測試服務。

測試過程和成果

滲透測試，簡而言之就是找合資格的測試員，模擬駭客入侵目標的電腦系統，從而找出系統漏洞，防止真正的駭客有機可乘。UDomain 的網絡安全分析師Chris說：「滲透測試是透過以外部攻擊者的角度分析系統，要根據既有程序逐步測試，不像電影中敲幾下鍵盤便能入侵。」

1. 資料蒐集階段

測試首先以人手方式「起底」，透過公開資料了解目標的網絡環境，例如用甚麼CMS系統，以部署下一步的行動，我們在這一步已經能發現嚴重漏洞。

2. 網站弱點掃瞄

先以自動化的程式自行掃瞄，採用非侵入和遠程方式進行。由於掃瞄發現的並非每個都是真正的問題，這樣掃描結果對客戶並無意義，因此要額外以人手逐一核對，剔除無用的內容。

3. 人手測試

滲透測試獨特之處是不止於自動掃瞄，還有最考經驗的人手測試，能發掘更多不同類型的漏洞。

邏輯漏洞一：

客戶一個購物網站存在邏輯漏洞，在發出訂單的時候能被駭客直接修改價錢，不付一元也能成功下單。Chris解釋：「對於交易量龐大的網站來說，經營者未必能容易察覺到，但駭客可能已經成功取貨，造成損失。」

邏輯漏洞二：

另一個是鬥快完成任務的遊戲，最快者可獲得禮品，主辦單位透過用戶裝置紀錄的時間判斷勝出者。同樣地，駭客可以在發出資訊到遊戲伺服器前把時間縮短，自動變成贏家。這類漏洞涉及先後次序，單靠掃瞄軟件不可能發現。

攻破防火牆：

客戶一些系統受著名品牌防火牆保護，只許公司內部IP地址存取。但我們一樣有方法繞過防火牆進入系統。 Chris說：「這看出設置防火牆並不是一勞永逸，還要仔細設定和測試防火牆作用。」

IoT設備：

客戶辦公室設有生物認證打卡系統，廠家聲稱是該牌子最安全的型號。但由於裝置都要靠連接後台應用程式控制，我們可以透過入侵後台程式取得登入資訊，便可以控制出入權限，直接解鎖自出自入。

其他問題：

在3個月的測試過程中還找到未受保護的資料庫和設定檔、登入名稱和密碼、不應公開的連接埠、私密金鑰等等。 Chris說：「因為這個都是牽涉到資料完整性，是網絡安全中要保護的一環，所以都是pentester（滲透測試員）的責任之一。」

4. 報告內容

包括100多個域名和系統的測試牽涉極大的資訊量，要清楚表達並不容易。為了令客人容易理解測試內容，我們會歸納同類問題，分類解釋問題所在，並統一提供建議，如無漏洞都要清楚列明，最後更會上門進行簡報會，當面解釋發現的成果和後續工作。「不過，如果測試過程中發現有可洩漏的帳號、姓名、密碼甚至嚴重漏洞，就會即時通知客戶，不會等到報告才說。」Chris說。

資料蒐集

弱點掃瞄

人手測試

完整報告

為何要選用UDomain的滲透測試？

OSCE高級認證

UDomain的滲透測試人員持有考試難度相當高的OSCE證書，所需技能超越一般滲透測試，要自行編寫程式入侵測試對象，亦要懂得高階測試技巧，經過長時間考試才可獲認證。

經驗豐富

滲透測試能找到多少漏洞，完全視乎測試人員的經驗，UDomain還曾經為銀行、社服機構、學校等客戶的網站、手機應用程式、硬件進行測試，成果豐碩，是你信心之選。

貨真價實

一些資安公司提供的滲透測試，實際上只包括自動掃瞄，沒有人手測試，或者只會按章辦事，檢查標準清單內容，但價錢卻相當昂貴。UDomain的滲透測試貨真價實，以人手方式深入偵查弱點，確保駭客無功而還。

小結

Chris總結：「駭客技術日新月異，單憑防火牆或密碼不足以擋住入侵。不論是為滿足監管要求，或者想更好地保障公司及客戶的寶貴資料，都很應該做全面的滲透測試。」但是，要在香港找一個合資格且貨真價實的測試並不容易。UDomain團隊有多年經驗作滲透測試的「白帽駭客」，我們必竭盡所能提供全面的測試和跟進，保護你管有的敏感資料。

購物車

網絡安全只有更好，沒有最好

客戶背景

測試過程和成果

為何要選用UDomain的滲透測試？

小結