[Burp Suite 完整教學] 關於滲透測試:那些你不知道的黑暗面

辛辛苦苦的終於撐完30天完賽啦~
今天就再來聊聊一些特別的吧!

如果你是一個嚮往滲透測試的入門者、學生,
可能必須先說聲抱歉這篇文章可能會毀了你的幻想。

雖然標題下得有點聳動,老實說我也有點不知道該甚麼開頭,
可以說的事情太多了反而不知如何順暢的詳盡說清楚。

今天就以乙方的角度,來談談兩件我個人覺得絕望的事情,
這絕對不是一個個人或是一間公司的個案,而是整個資安生態當中的問題點。
而且最令人絕望的事情並不是因為現在,而是未來...

首先聊聊第一個。
有看我先前的文章的應該有注意到Burp當中有Scanner這項功能,
其實就是執行一個網站弱點掃描的功能,
那其實除了Burp以外,有很多商業用更強大與便利的網站弱點掃描工具,
而資安服務公司,不管大間小間,也許多家都會有網站/主機弱點掃描的服務,
以台灣來說,甲方技術人員可能比較熟悉的會是主機弱點掃描的知名工具Nessus。

那滲透測試與弱點掃描,這兩個實際上是相差甚遠的,
前者需要更加專業的人才與更大量的人力時間成本,
後者則是利用工具自動化的進行掃描(主機弱掃甚至可以方便的大量掃描)。

除了執行上的差異,對於風險弱點的揭露程度,
兩者可以執行的深度,甚至可以說執行的範圍都完全不同。
所以在價格上滲透測試必然是比網站弱掃還來得貴上許多。

那問題出在哪裡呢?
其實現在仍有一些甲方單位並不熟悉兩者的差異,
或是說對他們來說「滲透測試」僅僅是因應合乎規範的需求,
也就是說他們的網站只要有做過「滲透測試」服務,就可以交差了,
當今天兩家乙方廠商各開出不同的價格,
只想交差了事的話,當然就是選擇便宜的囉~
(其實就算不是因為交差,也很可能會選便宜的XD)
現在不僅是因為一些政府規定,也是企業高官對「資安越來越重視(?)」,
所以需要做滲透測試的案子其實會越來越多,
前面也提到過,滲透測試其實相對於一些弱點掃描服務價格是較高的,
而市場機制如果就是這樣下去,也可能就會產生了削價競爭的情形,
而剛剛也提到滲透測試其實是需要較高成本的服務,
如果價格不斷下降,或是更多人看到這塊市場想加入滲透測試服務,
其實廠商收的錢根本也沒辦法真正的做好滲透測試,
甚至可能導致廠商假藉滲透測試之名,行網站弱掃之實,
整個資安生態陷入一個詭異的惡性循環,
其實這不是甲方的錯、不是乙方的錯,
而是整個市場機制、人性,對於資安的不重視產生的必然性悲劇。

雖然開頭提到要講兩件絕望的事情,
但講完第一個,覺得有點心累,就不提第二個了XD
就讓它先成為一個謎吧。

不過還是可以提提其他事情,
讓想走滲透測試的你有點心理準備。
像是滲透測試會花很多時間在做報告,
給客戶修補建議,可能還要手把手教學,
也會常常需要回應一些可能跟技術無關的問題。
也有客戶真的滿狀況外的,
有次我要求客戶移除網站中的某個頁面,
我也給了他完整個URL,
客戶還是問我要怎麼移除那個頁面,要去哪裡找。
時不時也會要你通靈一下,有一次測試過程中,
客戶要我確認連到網站中間有沒有資安設備(?!),
我試了一下跟客戶提到有WAF阻擋,
客戶問我,那你經過的WAF是哪一個型號的WAF,
你知道它在哪個位置嗎(?),
現在是歡樂大集合還是通靈王大賽?

不過還好大部分的甲方人員都還是很NICE的啦~
雖然可能多少會有人聽說過,要訓練耐心跟脾氣才能去乙方,
其實甲方奧客也不是這麼多的,大概10個裡面還是有8,9個正常的好人。

好啦XD 最後一天居然變成抱怨文,
總之,很開心今年也是有完賽!

本系列的文章為作者參與第 12 屆 iT 邦幫忙鐵人賽的文章修改
原文連結
 https://ithelp.ithome.com.tw/users/20114110/ironman/3806

發佈留言