係乜嘢嚟
滲透測試(簡稱 pentest)即係請有牌嘅「道德黑客」用真實黑客手法去攻擊你嘅網站、app、伺服器或者公司網絡,睇下入唔入到。完成後會畀份報告列出搵到嘅漏洞、危險程度同點樣修補。弱點掃描(vulnerability assessment)就係用工具自動掃出已知問題,範圍闊但唔夠深入,兩者通常配合一齊做。
啱邊個用
有網站、流動 app、網上收款或者要符合客戶 / 監管保安要求嘅公司,特別係金融、醫療、電商同要投標時被要求出測試報告嘅企業。
各供應商叫法
同一樣嘢,唔同叫法。
唔同電訊商會用唔同名賣呢個產品,等你格價嗰陣認得返。
Pentastic Security
Penetration Testing & Security Assessment
wizlynx group
Penetration Testing Services (Hong Kong)
eWalker Consulting (HK)
Penetration Testing & IT Security Assessment
HKT
Penetration Testing & Vulnerability Assessment
HKPC / HKCERT (referrals)
Cybersecurity Assessment Services
好處同要留意
老實講優點同缺點。
好處
- 趁真黑客之前搵到漏洞,補咗就唔使等中招先後悔。
- 出份正式報告,投標、過審計或者畀客戶安心時用得着。
- 報告會排優先次序,話你知邊個漏洞最危險、要最先補。
- 通常包補完之後嘅複測(retest),確認真係搞掂咗。
- 揾出靠工具掃唔到嘅深層問題,例如業務邏輯漏洞。
要留意
- 係一次性服務,反映嘅係當刻嘅狀態;改完系統或者隔半年最好再做。
- 搵到漏洞要你自己(或者另請人)去修補,唔係做完測試就自動安全。
- 質素同信譽好參差,揀錯人可能交假大空報告,要揀有相關認證嘅團隊。
- 測試期間有機會影響到正式系統,要事先協調時間同範圍。
參考價錢
一個網站或 app 嘅滲透測試大致由 $20,000 至 $80,000 一次,視乎範圍、頁面數量同深度;單純自動弱點掃描平好多,企業級或大型網絡按範圍報價。價錢僅供參考。
FAQ
常見問題
Q01滲透測試要幾耐做一次?
一般建議每年最少一次,或者每次系統有大改動、推出新功能之後再做。有合規要求嘅行業可能要更頻密。
Q02滲透測試同弱點掃描有咩分別?
弱點掃描係工具自動掃已知問題,快但表面;滲透測試係真人深入嘗試攻入,會搵到工具掃唔到嘅問題,但貴啲、耐啲。
免費報價 · 零承諾
想要滲透測試與保安評估嘅報價?
話我哋知你嘅情況,我哋幫你比較唔同供應商,48 小時內回覆。