在滲透測試之前 - 資安

最近某些朋友再分享一篇新聞[0]

提到關於軍方內部的滲透測試 結果演變成共諜案來偵辦



在正常情況下 滲透測試都需要請被測試方提供一份範圍文件讓測試方簽署

內容可能包含了：可測試範圍、不可造成的影響 等等

看這篇新聞描述的內容 是無法知道攻擊方 (簡稱紅隊) 被允許的範圍有哪些

不過就之前辦 bounty program 的經驗 我至少列舉了

- 可測試的網站與產品清單 (最好也列出黑名單)
- 明確禁止不能使用的方式 (例如 DDoS)
- 概略列出不能操作的行為 (例如刪除資料)
- 限制可測試時間區間 (例如為期一個月)


[0]: https://tw.appledaily.com/politics/20200527/6H26NCYLVWI4SSR4YAVNTX2CFY/

--