FX-01 / OFFENSIVE SECURITY
N 25.0330° E 121.5654°

用攻擊思維 滲透 找出弱點

FenryX 銳狼科技於 2025 年末成立於台北,是一支專注於進攻型資安服務的精銳小隊。
我們以真實攻擊者的視角,為您的企業找出被忽視的風險入口。

了解服務範圍 查看服務範圍
5國際資安認證
38ZERODAY 通報
2025成立於台北
永遠的好奇心
fenryx://pentest/live_engagement.log● REC
RECON · Ω
HTB CPTS HTB CWES HTB CJCA PWPA eJPT OWASP TOP 10 PTES METHODOLOGY MITRE ATT&CK
HTB CPTS HTB CWES HTB CJCA PWPA eJPT OWASP TOP 10 PTES METHODOLOGY MITRE ATT&CK
HTB CPTS HTB CWES HTB CJCA PWPA eJPT OWASP TOP 10 PTES METHODOLOGY MITRE ATT&CK
SERVICES / 02

我們提供
進攻型資安服務

防禦來自於理解進攻。每一次委託,都是由實戰經驗豐富的進攻型安全工程師在您的環境中, 重現真實攻擊者的行為模式 — 從偵查、入侵、橫向移動到資料外洩。

01 VAS

弱點掃描

Vulnerability Assessment

基於 CVE / CWE 資料庫的全資產自動化檢測,找出已知漏洞並按風險等級分類。

≤ 500
掃描節點
3–5 天
檢測週期
100%
人工複核
TOOLING
NessusOpenVASNucleiShodan
查看詳細方法論
02 PT

滲透測試

Penetration Testing

由持證滲透測試人員執行手動攻擊鏈。Web、Mobile、雲端、網路、IoT 全範圍黑白灰盒。

2–4 WK
演練週期
CPTS
認證執行
OWASP+
攻擊向量
TOOLING
Burp SuiteMetasploitSqlmapCustom Scripts
查看詳細方法論
03 SE

社交工程演練

Social Engineering

以客製化釣魚郵件模擬真實攻擊者手法,量化員工資安意識與企業在社交工程層面的實際風險。

≤ 500
模擬員工數
MTTR
通報時間
4–6 WK
執行週期
TOOLING
GoPhishCustom Kit
查看詳細方法論
METHODOLOGY / 03

狼群戰術
六階段殺傷鏈

我們遵循 PTES / NIST SP 800-115 / OSSTMM 三大國際標準,結合實戰調整為 FenryX Six-Phase Kill Chain。 每一階段皆有可交付文件、工具鏈與品質關卡。

01·RECON

情蒐

被動情報收集、攻擊面測繪、目標資產指紋化。建立完整的數位足跡地圖。

02·SCAN

偵測

主動掃描端口、服務版本、Web 組件與配置。交叉比對 CVE/CWE 知識庫。

03·EXPLOIT

利用

手動驗證漏洞、組合攻擊鏈、繞過 WAF/EDR。必要時編寫一次性 0-day。

04·POST-EXPLOIT

後滲透

權限提升、橫向移動、持久化。評估資料外洩與業務衝擊範圍。

05·REPORT

報告

按 CVSS 3.1 評級,附 PoC、影響面、修補建議與再測驗證。

06·RETEST

複測

修補完成後全量再驗證,確保漏洞真實關閉且未引入回歸問題。

GLOBAL FEED / 03

攻擊者
從未休眠

台灣每日承受近百萬次外部網路攻擊。我們追蹤全球威脅情資,比攻擊者更早一步抵達您的系統。

FENRYX · TPE
GLOBAL THREAT FEED
LIVE
ATTACKS / 24H
847,293
TOP SOURCE
CN · RU · KP
TW TARGETS
+23.4%
CAPABILITIES / 04

我們如何
找出 致命漏洞

工具之於獵手,如同獵具之於狼。我們使用業界領先的自動化工具,並輔以手動驗證每一項發現。

CAP · 01 / SAST + DAST
程式碼即時漏洞掃描
NODE.JS · PYTHON · GO · JAVA · PHP
我們對每一行程式碼進行靜態與動態分析。下方展示為 FenryX 內部掃描引擎對一段典型 Node.js 身份驗證流程的即時檢測 — 在 12 行程式碼中發現 5 項可利用漏洞,包含一個 CVSS 9.8 的 SQL Injection。
auth.service.js · line scan
SCANNING
01app.post("/api/login", async (req, res) => {
02 const { username, password } = req.body;
03 const sql = `SELECT * FROM users`
04 + ` WHERE name = '${username}'`;
05 const user = await db.query(sql);
06 if (user.password === password) {
07 const token = jwt.sign({ id: user.id },
08 "hardcoded-secret-2024");
09 res.cookie("session", token);
10 res.redirect(req.query.returnTo);
11 }
12});
RISK SCORE
0/ 100
FINDINGS · 0
— awaiting scan —
CAP · 02 / NETWORK
網路拓撲與封包分析
即時追蹤請求在您基礎架構中的流動路徑,標記高風險節點與異常流量模式。
CLIENTFIREWALLLB / WAFAPIAUTHDATABASE
CAP · 03 / AUTH
身份驗證強度測試
模擬憑證填充、令牌劫持、MFA 繞過等現代身份攻擊,驗證您的存取控制經得起實戰。
AUTH REQUIRED
CAP · 04 / LIVE
實時攻擊流量樣本
RECEIVING · 847 pkt/s
00000000111111111111000000000000011111111111100000000000001111111111110000000000
00000000000111111111111100000000000011111111111110000000000001111111111111000000
11000000000000111111111111100000000000011111111111110000000000001111111111111000
11111000000000000111111111111100000000000001111111111110000000000000111111111111
ADVANTAGES / 04

為什麼選擇
一支 小隊

所有專案皆由創辦人親自執行並交付,沒有外包、沒有轉包。 你聯繫的人,就是實際動手的人。

認證驗證身份

我們持有 HTB CPTS、CWES、PWPA 等進攻型認證,以實際考核成績證明能力。

真實攻擊視角

每一份報告都以攻擊者故事線呈現 — 不是工具輸出 PDF,而是可閱讀的作戰實錄。

靈活排程與價格

2–3 週內可完成演練;創始時期提供具競爭力價格與更高彈性時程。

Web 與 網路專精

聚焦於 Web App / API、內外部網路、Active Directory 等主流攻擊面。

法遵對齊

報告結構參考業界標準,可作為內部稽核參考文件。

透明的合作

價格不黑箱、期中進度同步、檢測過程可驗證。端出的報告您看得懂。

CREDENTIALS / 05

5 張國際認證 為起點

FenryX 成立於 2025 年底,我們相信證照不是終點,而是我們對自己能力的最基本承諾。

HTB CPTS
PENETRATION TESTER
HTB CWES
WEB EXPLOITATION
HTB CJCA
JUNIOR ANALYST
PWPA
WEB PENTEST ASSOCIATE
eJPT
JR. PENETRATION TESTER

我們是一支 2025 年底成立的新團隊。我們沒有輝煌客戶名單可以炫耀 — 但我們有透明的方法論、第一手的攻擊視角,以及讓每一份報告都能說出完整攻擊故事的承諾。

FenryX Founding Team — 銳狼科技創辦團隊
2025成立年份
38ZERODAY 通報
彈性報價
INTEL FEED / 06

最新情資

FenryX 研究團隊發布原創資安分析、漏洞揭露與實戰案例。訂閱情資頻道,領先攻擊者一步。

SECURITY·2025.11.26
DOCUMENTATION

OWASP Top 10 2025:完整解析與防禦指南

閱讀 1 分鐘
SECURITY·2025.11.23
SECURITY

Fenryx 技術部落格正式上線

閱讀 1 分鐘
查看全部情資文章
FAQ / 07

常見
問題

若您的疑問未在下方列出,歡迎直接聯繫我們的技術團隊 — 我們會在 3–5 個工作日內回覆。

Q.01 滲透測試會不會影響線上服務? +

我們在起始會議即訂定測試範圍、時段與風險閾值,並建立 24/7 緊急中止機制。高風險攻擊模組會安排於離峰時段或隔離環境執行,高風險模組安排於離峰時段或隔離環境執行,將對線上業務的影響降至最低。

Q.02 弱點掃描與滲透測試的差異為何? +

弱點掃描是自動化、廣度優先、找「已知」漏洞;滲透測試是人工、深度優先、驗證漏洞的真實可利用性並組合攻擊鏈。我們建議每季一次弱掃、每年一次全範圍滲透。

Q.03 社交工程演練合法嗎? +

合法。我們執行前會取得受測公司法務核可、簽署 SOW 與員工告知聲明。所有釣魚基礎設施由 FenryX 自建、使用後立即銷毀,絕不接觸真實敏感資料。

Q.04 一次演練需要多久?費用如何計算? +

弱點掃描 3–5 個工作天、滲透測試 2–4 週、社交工程演練 4–6 週。費用依攻擊面範圍與委託深度個別討論,歡迎透過聯絡表單說明需求,我們會在 3–5 個工作日內提供評估方向。

Q.05 報告交付後,你們會協助修補嗎? +

當然會。每份報告皆附修補指引與優先順序,並免費提供一次完整複測。由於目前團隊規模精簡,我們能直接與您的工程師一對一談修補細節,不經過任何 PM 轉達。

Q.06 我們資料放在雲端,你們能測試嗎? +

可以。我們具備 AWS / Azure / GCP 主流雲端架構的審計與滲透能力。針對雲端滲透我們會事先協助您完成雲廠商的授權申請流程。

READY · TO · ENGAGE

您的下一次演練,
FenryX 開始。

我們建議從一次免費的攻擊面評估開始 —
30 分鐘線上會議、無承諾、無推銷。我們允諸您看見,攻擊者早已看見的那部分。

預約 30 分鐘評估 瀏覽完整服務