只因未授权的“渗透测试”：工程师在新加坡被捕

IT工程师是极富创造力的一批人，有时候这种创造力会用于“作死”的用途。这不，这不，前端时间，一则工程师作大死的新闻刷屏了社交圈：

在新加坡网络安全会议(黑客夺旗比赛)期间，一位腾讯的工程师入侵了其所住酒店的Wi-Fi并遭到了新加坡安全部门的抓捕。据悉，这名工程师现年23岁，在腾讯负责安全领域的工作。他8月27日入住新加坡飞龙酒店，偶然间对酒店的Wi-Fi是否存在漏洞感到好奇并尝试破解，结果是，他成功对酒店WiFi进行了破解，并侵入了该酒店WiFi服务器的数据库。

不过，真正让这位工程师陷入官司的是他在破解酒店WiFi密码后发表的一篇博客中文章，名为《Exploit Singapore Hotels(在新加坡酒店"开采")》。在文章中，他公布了酒店Wi-Fi服务器管理员密码，并在Whatsapp群聊中分享了博客链接。随后，这篇博客文章引起了新加坡网络安全局(CSA)的注意，CSA定位后将其抓捕。

据了解，新加坡国家法院认为郑故意泄露飞龙酒店的网络密码，导致飞龙酒店的数据暴露于未授权访问的威胁之下。9月24日，新加坡国家法院对其罚款5000美元，后者承认了未经授权披露密码的罪行。

对此，万方安全小编只能说，虽然抑制不住地探索冲动是技术进步的源动力之一，但不合规矩的行为会给自己和他人带来无法控制的后果。渗透测试是好东西，但是未经授权是红线，千万不要碰！

无授权的扫描渗透活动潜在哪些危害？

在用户非授权情况下，黑客执行渗透测试，入侵一个系统，然后从一个系统侵入另一个系统，直到“占领”整个域或环境。所谓“占领”，是指他们在最关键的Unix或Linux 系统上拥有root 权限，或者取得了可以访问和控制网络上的全部资源的管理员账户。这期间，黑客可以获得包括CEO 的密码、公司的商业机密文件、所有边界路由器的管理员密码、CFO 和CIO 的笔记本电脑中标记为“机密”的文档等——这些都可能给被“测试”机构的信息安全带来威胁。

作为网络安全守卫者的我们，无论在何种情况下都应该遵守网络监管规定，以免走向我们的对立面。

渗透测试是一种提升网络安全水平的有效手段——当然是在合法有授权的前提下。很多时候，企业在安全上投入了大量的资源，更多的投入似乎并不能进一步提升安全水准，安全防护建设进入了某种瓶颈。渗透测试是一种全新的安全防护思路，将安全防护从被动转换成了主动，正因为如此，很多重点行业的企业越来越多地通过独立的第三方安全机构来进行“渗透测试”，以求更好的安全防护效果。

渗透测试有什么意义？

任何形式的攻防对抗，最重要的一条就是掌握主动权。借助渗透测试，可以先于黑客发现系统安全隐患，提前部署好安全防御措施，保证系统的每个环节在未来都能经得起黑客挑战，进一步巩固客户对企业及平台的信赖。

通过渗透测试，企业用户可以从攻击角度了解系统是否存在隐性漏洞和安全风险，特别是在进行安全项目之前进行的渗透测试，可以对信息系统的安全性得到深刻的感性认知，有助于进一步健全安全建设体系；渗透测试完毕后，也可以帮助用户更好地验证经过安全保护后的网络是否真实的达到了预期安全目标、遵循了相关安全策略、符合包括信息安全等级保护和ISO27001等规范的要求。

万方安全如何进行渗透测试服务？

我们将在客户授权许可的前提下，由资深安全专家通过模拟黑客攻击的方式，在没有网站代码和服务器权限的情况下，对企业的在线平台进行全方位渗透入侵测试，由此评估企业业务平台和服务器系统的安全性。

普通的测试服务和漏洞扫描工具只能发现常规性的漏洞，而对于系统深层次的漏洞和业务逻辑漏洞一般扫描器是无法探测到的，因此需要选择高级渗透测试服务来对业务系统做更深层次、更全面的安全检查。

我们拥有安全行业从业十五年以上的顶尖安全专家团队，具备强大的漏洞研究与挖掘的技术实力，他们具备良好的职业操守，严格遵循专业化测试流程。他们曾为数百家企业提供过渗透测试服务，帮助企业客户检测出多达上万个系统漏洞及安全风险，通过出具专业的服务报告及可靠的修复方案，为企业客户防患于未然，避免了由安全风险带来的巨大损失。

（文章来源网络，由万方安全小编整理编辑，如有疑问，请联系QQ：3273153213）