Vulnerability Assessment ต่างกับ Penetration Test อย่างไร

ฺฺจาก Blog ตอนที่แล้ว "[OWASP] เมื่อผลการทดสอบบอกว่าระบบมีโอกาสเกิด Sensitive Data Exposure" ทางผมคิดว่าอ่านเอกสารการทดสอบ Penetration Test และไม่น่าจะมีปัญหาอะไร แต่ตอนประชุมกลับมีเอกสารของการทำ Vulnerability Assessment โผล่ขึ้นมา ผมเลยถามทางทีมงานมาทดสอบเรื่องนี้ ว่า 2 คำนี้มันต่างกันอย่างไร

Vulnerability Assessment

การประเมินหาความเสี่ยงที่ระบบจะถูกโจมตี โดยเอาข้อมูลจากฐานข้อมูลแหล่งต่างๆ หรือเป็นช่องโหว่ทีเปิดเผยสู่สาธารณะแล้ว CVE (Common Vulnerabilities and Exposures)
การทดสอบแบบนี้มักจะใช้ Tools เข้ามาช่วย

Penetration Test

การทดสอบเจาะระบบ โดยใช้คน เข้ามาโจมตีจริงๆ เพื่อพยายามหาช่องโหว่ที่ยังไม่มีใครเจอ หรือ Tools ไม่สามารถหาพบได้
การทำ Penetration Test เอาข้อมูลบางส่วนจาก Vulnerability Assessment มาวิเคราะห์ความเสี่ยง ความเป็นไปได้ของการโจมตี และเลือกเฉพาะที่สำคัญมาทำครับ

หมายเหตุ ข้อมูลนี้ได้จากการพูดคุยกับทีมตรวจสอบความปลอยภัยที่ได้

Discover more from naiwaen@DebuggingSoft

Subscribe to get the latest posts sent to your email.

Vulnerability Assessment ต่างกับ Penetration Test อย่างไร

Vulnerability Assessment

Penetration Test

Like this:

Related

Discover more from naiwaen@DebuggingSoft

Vulnerability Assessment

Penetration Test

Share this:

Like this:

Related

Discover more from naiwaen@DebuggingSoft

Related Posts

ขั้นตอนย้าย Nameservers ของ Domain ไป Cloudflare

[Powershell] ssh with .pem key error Bad permissions. Try removing permissions for user: NT AUTHORITY\\Authenticated Users

OpenSSH: Set ChrootDirectory for specific user on windows