資安顧問
弱點掃描與滲透測試
適用情境
- 系統即將上線或改版,想在上線前找出安全弱點
- 客戶或稽核要求提供資安檢測報告
- 擔心既有系統存在漏洞,但缺乏內部資安專業評估
- 曾發生資安事件,想全面體檢並強化防護
我們的做法
承接條件:漏洞檢測僅在取得系統所有權人的書面授權後執行,並嚴格限定於授權範圍。我們遵循責任揭露原則,發現的弱點僅通報委託方,不對外公開、不留後門。詳見資安服務承接原則(/security-policy)。
資安檢測是一種需要高度信任與法遵的服務。我們的立場很清楚:未經授權的測試就是攻擊,無論動機為何。因此在動工前,授權範圍、測試時段、影響評估與聯絡窗口都會白紙黑字確認。
檢測方法
結合自動化弱點掃描與人工滲透測試,涵蓋常見的注入、認證與授權缺失、設定不當與敏感資訊外洩等風險。對照 OWASP 等業界基準,兼顧廣度與深度。
- 外部與內部視角的弱點掃描
- 手動滲透測試,驗證可被實際利用的風險
- 設定審查與安全標頭、加密配置檢視
報告與修補建議
交付的不只是弱點清單,而是依風險分級、附上重現步驟與具體修補建議的報告,讓工程團隊能實際著手修補。必要時提供修補後的複測,確認風險確實收斂。
技術棧 / 交付內容
- 書面授權與測試範圍確認
- 弱點掃描與滲透測試執行
- 風險分級報告(含重現步驟)
- 具體修補建議
- 修補後複測(選配)
Process
合作流程
- 01需求訪談
- 02提案報價
- 03開發交付
- 04維運支持
常見問題
- 檢測需要什麼前提?
- 必須取得系統所有權人的書面授權,並確認測試範圍與時段。我們不承接未經授權的測試,詳見資安服務承接原則(/security-policy)。
- 測試會影響營運系統嗎?
- 我們會在授權階段評估影響並安排適當時段,對正式環境採謹慎手法或改於測試環境進行,將對營運的影響降到最低。
- 發現的漏洞會外流嗎?
- 不會。我們遵循責任揭露原則,弱點僅通報委託方,並簽署保密約定,不對外公開亦不留後門。
Get in touch
洽談專案