最近某些朋友再分享一篇新聞[0] 提到關於軍方內部的滲透測試 結果演變成共諜案來偵辦 在正常情況下 滲透測試都需要請被測試方提供一份範圍文件讓測試方簽署 內容可能包含了：可測試範圍、不可造成的影響 等等 看這篇新聞描述的內容 是無法知道攻擊方 (簡稱紅隊) 被允許的範圍有哪些 不過就之前辦 bounty program 的經驗 我至少列舉了 - 可測試的網站與產品清單 (最好也列出黑名單) - 明確禁止不能使用的方式 (例如 DDoS) - 概略列出不能操作的行為 (例如刪除資料) - 限制可測試時間區間 (例如為期一個月) [0]: https://tw.appledaily.com/politics/20200527/6H26NCYLVWI4SSR4YAVNTX2CFY/ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 106.1.229.246 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1590556728.A.A3E.html