ฺฺจาก Blog ตอนที่แล้ว "[OWASP] เมื่อผลการทดสอบบอกว่าระบบมีโอกาสเกิด Sensitive Data Exposure" ทางผมคิดว่าอ่านเอกสารการทดสอบ Penetration Test และไม่น่าจะมีปัญหาอะไร แต่ตอนประชุมกลับมีเอกสารของการทำ Vulnerability Assessment โผล่ขึ้นมา ผมเลยถามทางทีมงานมาทดสอบเรื่องนี้ ว่า 2 คำนี้มันต่างกันอย่างไร
- Vulnerability Assessment
- การประเมินหาความเสี่ยงที่ระบบจะถูกโจมตี โดยเอาข้อมูลจากฐานข้อมูลแหล่งต่างๆ หรือเป็นช่องโหว่ทีเปิดเผยสู่สาธารณะแล้ว CVE (Common Vulnerabilities and Exposures)
- การทดสอบแบบนี้มักจะใช้ Tools เข้ามาช่วย
- Penetration Test
- การทดสอบเจาะระบบ โดยใช้คน เข้ามาโจมตีจริงๆ เพื่อพยายามหาช่องโหว่ที่ยังไม่มีใครเจอ หรือ Tools ไม่สามารถหาพบได้
- การทำ Penetration Test เอาข้อมูลบางส่วนจาก Vulnerability Assessment มาวิเคราะห์ความเสี่ยง ความเป็นไปได้ของการโจมตี และเลือกเฉพาะที่สำคัญมาทำครับ
หมายเหตุ ข้อมูลนี้ได้จากการพูดคุยกับทีมตรวจสอบความปลอยภัยที่ได้เขียนไว้ใน Blog ที่แล้ว ครับ
Discover more from naiwaen@DebuggingSoft
Subscribe to get the latest posts to your email.
