滲透測試技術服務

滲透測試是安全評估方法的一種，通過模擬惡意駭客的攻擊方式，來評估電腦、網路及系統的安全性。滲透測試過程會針對系統的弱點、技術或管理缺失以及漏洞進行主動分析和評估；滲透測試分析團隊以駭客的角度出發，對受測標的進行有條件的主動安全測試。

取得受測目標擁有者的授權，是滲透測試執行的先決要件；也是滲透測試團隊與惡意駭客在本質上的區別；滲透測試人員運用所擁有的電腦技能以及攻擊手法，找出受測目標可能存在的攻擊途徑，提供可行的解決或替代方案；來協助管理者建立更完善的防禦措施。

PTES(Penetration Testing Execution Standard)(www.pentest-standard.org)，對於滲透測試執行過程與基本要求進行了定義；PTES標準使用了七個滲透測試階段來定義滲透過程，並在每個階段定義了不同的執行項目，受測單位與組織可選擇符合單位需求的項目，來執行滲透測試；期許受測組織能夠以一種標準化的方式來執行滲透測試。

滲透測試報告的呈現，可以幫助管理者找出組織的脆弱環節，與滲透測試人員進行諮詢；知道滲透測試人員嘗試過的攻擊方法及路徑。滲透測試過程中的攻擊路徑，可能由單一的高風險項目構成，也可能是多個中或低風險弱點的組合；滲透測試報告使用圖文的方式來紀錄攻擊階段的具體操作；攻擊過程中的可利用弱點及風險項目，則依弱點風險等級定義進行分類。