英國滲透測試服務的搜尋量在2023年至2025年間成長了35%以上,這源於勒索軟體事件的增多、日趨嚴格的法規義務,以及一批保險公司在簽發網路保險單前要求提供主動安全測試證據。儘管需求旺盛,人們對滲透測試究竟是什麼、它與漏洞掃描有何不同,以及一次優質測試的費用是多少,仍然普遍感到困惑。

本指南全面介紹以下內容:滲透測試是什麼以及不是什麼、主要類型、流程如何運作、輸出應包含哪些內容、英國哪些資質認證至關重要,以及2026年的實際費用範圍。

要點速覽

  • 滲透測試是由授權測試人員模擬的攻擊,使用與真實攻擊者相同的技術。它與漏洞掃描不同,漏洞掃描是自動化的,無法將漏洞串聯起來或評估真實影響。
  • 測試人員將多個漏洞串聯起來以證明實際影響,而不僅僅列出單個問題。這正是該方法論的獨特之處和價值所在。
  • 在英國,PCI DSS 規定必須進行年度滲透測試;UK GDPR 第32條、ISO 27001 和 NCSC 指南均將定期滲透測試視為具備適當技術控制的證據。
  • 對於 CREST 認證提供商,請查找 CRT(Web 應用)、CCT App(Web 應用)或 CCT Inf(基礎設施)資質。公共部門工作適用 CHECK 方案。

滲透測試是什麼(以及不是什麼)

滲透測試是針對特定目標進行的有組織、經授權的攻擊模擬。測試人員使用與惡意攻擊者相同的工具、技術和思維方式,但在雙方約定的範圍和交戰規則內操作。目標是在真實攻擊者行動之前,識別漏洞並證明其在現實世界中的可利用性。

漏洞掃描不是滲透測試。自動掃描器根據已知漏洞資料庫檢查系統並產生發現清單。它速度快、可重複,但無法基於上下文進行推理、串聯發現結果、評估業務邏輯,也無法證明其發現的實際影響。許多組織將兩者混為一談,部分供應商故意模糊界限。如果供應商為「滲透測試」報價,但整個工作完全依賴工具執行而沒有人工分析,您實際上是以高價購買了漏洞掃描。

這種區別在實踐中至關重要。漏洞掃描可能會標記您的應用程式具有無帳戶鎖定的登入表單。滲透測試則更進一步:測試人員嘗試將此漏洞與使用者名稱列舉弱點和可預測的工作階段令牌結合利用,以演示完整的帳戶接管鏈。這就是列舉風險與證明風險的區別。

滲透測試的類型

**按知識層級劃分。**測試通常被描述為黑箱、灰箱或白箱,指的是測試人員開始時獲得的資訊量:

  • 黑箱:測試人員在不了解目標任何先驗知識的情況下開始,模擬已進行自主偵察的外部攻擊者。最接近真實世界的攻擊場景,但可能時間效率較低,因為測試人員會將參與時間花在(如應用程式映射等)您本可提供的任務上。
  • 灰箱:測試人員獲得部分資訊,通常是使用者憑據和文件,但沒有原始程式碼或完整的架構圖。Web 應用測試中最常見的選擇,因為它在真實性和效率之間取得平衡。
  • 白箱:測試人員擁有完全存取權限,包括原始程式碼、架構文件和基礎設施圖。用於全面評估和合規驅動的程式碼審查。發現漏洞比例最高,但需要您的團隊做最多的準備工作。

**按目標類型劃分。**常見類別包括:

  • 網路滲透測試:外部或內部基礎設施、防火牆規則、VPN 設定、橫向移動機會
  • Web 應用滲透測試:OWASP Top 10 及以上,包括身份驗證、工作階段管理、輸入驗證和業務邏輯
  • API 滲透測試:REST 和 GraphQL 端點、身份驗證繞過、批次指派、速率限制和資料暴露
  • 行動應用滲透測試:Android 和 iOS 應用、不安全資料儲存、憑證固定繞過,以及透過行動層暴露的後端 API 問題
  • 社會工程學:網路釣魚模擬、藉口攻擊和電話釣魚(vishing),用於測試人為層面的安全
  • 實體滲透測試:跟隨入侵、RFID 複製、存取控制繞過、針對實體場所

大多數英國企業從 Web 應用或網路測試開始,隨著安全計畫的成熟逐步擴大範圍。

滲透測試流程

嚴格的滲透測試遵循已定義的方法論。CREST 和 PTES(滲透測試執行標準)框架均描述了類似的序列:

範圍界定與交戰規則

測試開始前,您與提供商就目標、測試類型、測試時間視窗(部分組織要求在非工作時間測試以避免影響生產環境)、測試途中發現嚴重問題時的呈報程序,以及明確排除在範圍外的內容達成一致。請以書面形式確認。授權信能保護雙方。

偵察

測試人員透過被動手段(開源情報、憑證透明度日誌、揭示技術堆疊的招聘資訊、洩露資料庫中的憑據)和主動手段(DNS 列舉、連接埠掃描、服務指紋識別)收集目標資訊。黑箱測試中,此階段可能佔用參與時間的很大比例。

漏洞利用

測試人員嘗試利用已識別的漏洞來獲得初始存取權限或證明影響。這正是方法論與掃描不同之處:熟練的測試人員會嘗試多條路徑,當一條路徑受阻時調整策略,並尋找低嚴重性問題的組合,這些組合疊加後能產生高影響的結果。

後滲透與漏洞鏈式利用

這是大多數供應商行銷材料忽略的階段。獲得初始存取權限後,攻擊者實際上能做什麼?評估 Web 應用的測試人員可能會將 XSS 漏洞與 CSRF 弱點和可預測的工作階段識別碼串聯起來,以演示完整的帳戶接管。針對基礎設施時,後滲透包括權限提升、橫向移動,以及確定從初始立足點可以存取哪些資料或系統。

串聯至關重要,因為它重新定義了風險。當您能夠表明某個 CVSS 5.5(中等)的發現與其他兩個漏洞組合可用於竊取客戶資料庫時,單個發現就會引發截然不同的對話。

報告

測試人員記錄所有發現,撰寫報告,並在約定時間內提交(通常在測試完成後 5 至 10 個工作日內)。報告應包含的內容在下一節介紹。

優質滲透測試報告應包含哪些內容

專業滲透測試報告是您團隊的工作文件,而非提供商的銷售工具。它應包含:

**執行摘要。**對參與過程、整體風險狀況、發現數量和嚴重性,以及最關鍵問題的非技術性概述。面向需要做出決策的董事會級別讀者撰寫,而非需要修復程式碼的開發人員。

**範圍和方法論。**測試了什麼內容、如何測試,以及任何限制(例如某些 URL 被排除,或測試僅限於工作時間)。

**按風險分級的發現。**每個漏洞均附有嚴重性評級。大多數英國專業提供商使用 CVSS 3.1 評分,同時附有考慮您特定環境的上下文風險評級。單獨的 CVSS 評分可能造成誤導;沒有外部存取向量的 7.5 分發現與公開端點上的相同評分代表不同的風險。

**技術細節和重現步驟。**足夠的資訊讓您的開發人員能夠重現發現結果,理解為何可被利用,並確認其修復有效。這意味著:精確的請求和回應、使用的有效載荷、必要時的螢幕截圖。

**修復指導。**針對每項發現的具體、可執行建議。不是「更新您的相依性」,而是「將程式庫 X 從版本 2.3.1 升級到 2.4.0,並刪除 UserController.php 第247行的已棄用序列化呼叫。」

**複測聲明。**確認是否包含複測,如包含,說明發現結果如何關閉。在測試人員確認之前,發現結果不視為已解決。

英國滲透測試合規要求

**PCI DSS。**任何處理、儲存或傳輸持卡人資料的企業必須至少每年進行一次滲透測試,並在任何重大基礎設施或應用程式變更後進行。PCI DSS v4.0 於 2024年3月成為唯一有效版本,其中包含對滲透測試範圍和方法論的更新要求。這是強制性要求,而非建議。

**UK GDPR 第32條。**要求組織實施適當的技術措施以確保與風險相符的安全性。滲透測試是證明您已主動評估技術控制措施是否有效的最直接方式。ICO 在執法決定中已引用安全測試。

**ISO 27001。**附錄 A 控制 8.8 涵蓋技術漏洞管理,滲透測試是滿足此控制的標準方法。如果您正在爭取 ISO 27001 認證,稽核員將期望看到測試證據。

**Cyber Essentials Plus。**英國政府 Cyber Essentials 計畫的更高層級包括現場評估和漏洞掃描。雖然 Cyber Essentials Plus 不是滲透測試,但實現它並維持其建立的基準是合理的前提條件。

**NCSC 指南。**國家網路安全中心在其「網路安全10步」框架中推薦滲透測試,特別是在「漏洞管理」和「網路安全」步驟下。

CREST 資質及其重要性

CREST 是英國滲透測試公司和個人測試人員的主要認證機構。CREST 注冊提供商就其流程、方法論以及適當處理敏感資料的能力接受評估。個人測試人員可持有以下資質:

  • **CREST Registered Tester (CRT):**入門級認證,證明具備 Web 應用或基礎設施測試的技術能力。
  • **CREST Certified Tester - Application (CCT App):**Web 應用滲透測試的高級認證,需通過實踐考試。
  • **CREST Certified Tester - Infrastructure (CCT Inf):**網路和基礎設施測試的同等認證。

英國公共部門機構適用 CHECK 方案。CHECK 是由 NCSC 管理的方案,要求滲透測試人員持有 CHECK Team Member 或 CHECK Team Leader 資質。如果您是政府部門、NHS 機構或地方當局,您的提供商必須持有 CHECK 資質。

評估提供商時,請要求查看將參與您的工作的測試人員所持有的具體資質,而非公司最高級員工的資質。撰寫報告並執行測試的人員才是真正重要的資質。

應該多久測試一次?

正確答案取決於您的風險狀況,但實際最低要求是:

  • 對於處理個人資料或支付資料的任何網際網路應用程式,至少每年進行一次
  • 在引入新功能、新身份驗證流程或新整合的主要版本發布後
  • 在首次處理個人資料或支付資料的新產品、應用或服務上線前
  • 安全事件發生後,以了解攻擊者是否留下了持久化機制或利用了尚未修復的漏洞
  • 風險狀況發生變化時,例如合併、收購或使用者基礎大幅擴張後

英國滲透測試費用

參與類型典型費用範圍備注
黑箱 Web 應用測試£2,000 - £8,000外部,不提供憑據
灰箱/白箱 Web 應用測試£5,000 - £15,000經身份驗證的測試,可能包含原始程式碼審查
API 滲透測試£3,000 - £8,000REST/GraphQL,取決於端點數量
基礎設施滲透測試(外部)£3,000 - £10,000邊界,暴露的服務
基礎設施滲透測試(內部)£4,000 - £12,000模擬內部人員或入侵後場景
紅隊演練£15,000 - £50,000+完整對抗模擬,多向量
社會工程學參與£2,000 - £6,000網路釣魚、電話釣魚或組合活動

費用反映 2026 年英國市場定價。報價明顯低於這些範圍通常意味著人工分析極少的自動掃描。

Mecanik 滲透測試服務 涵蓋英國企業的 Web 應用、API 和基礎設施測試,採用 PTES 和 OWASP 方法論,提供概念驗證漏洞利用和優先級修復報告。

核心要點

  • 滲透測試是手動的、經授權的攻擊模擬,與自動漏洞掃描有本質區別。
  • 測試人員將多個漏洞串聯起來以證明實際影響,而非孤立地列舉單個問題。
  • 英國合規義務(PCI DSS、UK GDPR 第32條、ISO 27001、NCSC 指南)均將定期滲透測試視為基本安全實踐。
  • 優質報告包含按風險分級的發現、技術重現步驟、附上下文評級的 CVSS 評分,以及針對每個問題的具體修復指導。
  • 在資質方面,請查找參與您工作的個人測試人員的 CREST CRT、CCT App 或 CCT Inf 認證。公共部門工作需要 CHECK 方案資質。
  • 至少每年測試一次,主要版本發布後以及任何處理個人或支付資料的新服務上線前均需測試。

常見問題解答(FAQ)

滲透測試和漏洞掃描有什麼區別? 漏洞掃描使用自動化工具根據已知問題資料庫檢查系統。滲透測試涉及對目標進行推理、串聯漏洞並證明實際可利用性的人工測試人員。掃描速度快且有助於建立基準,但不能替代手動測試。

滲透測試需要多長時間? 針對中等複雜度網站的 Web 應用測試通常需要三到五天的測試時間。大型應用、包含原始程式碼審查的白箱參與,或涵蓋多台主機的基礎設施測試需要更長時間。範圍界定對話和報告撰寫會增加額外時間,因此請安排從參與開始到最終報告交付約兩到四週的時間。

滲透測試前需要告知託管服務商嗎? 請查看您的託管或雲端服務提供商的服務條款。AWS、Azure 和 GCP 均允許在無需事先通知的情況下對您自己的資源進行滲透測試(適用於大多數服務,部分限制除外)。共用託管服務商通常需要提前通知。您的滲透測試提供商應在範圍界定階段確認這一點。

如果測試人員在測試過程中發現嚴重漏洞會怎樣? 您的交戰規則應定義嚴重發現的呈報程序。信譽良好的測試人員會立即聯絡您,而不是等待報告。然後您決定是否暫停測試進行修復、在記錄該發現的情況下繼續,還是調整範圍。

滲透測試會導致停機嗎? 大多數測試技術是非破壞性的,不會導致停機。拒絕服務測試需要明確協議,通常在非工作時間進行。測試人員應在嘗試任何可能造成干擾的技術前討論其風險。

如何驗證 CREST 滲透測試人員的資質? CREST 在 crest-approved.org 上維護注冊公司和認證個人的公開注冊表。按公司或測試人員姓名搜尋以驗證狀態。對於 CHECK,NCSC 會發布 CHECK 批准服務提供商的名單。