在对网站开展渗透测试 都有哪些需要注意的? 5大阶段


    随着网络安全法的实施,等级保护的实施等等。安全已经成为企业建设者和信息技术工作者必

须了解的内容之一,其渗透测试作为内容之一,也逐渐流行,慢慢失去其外观,逐渐变得普通。

由于"渗透测试"已为公众所知,个别供应商的竞争力提高了交付时报告质量的重要性。渗透测试

是尽可能模拟黑客来发现应用系统中的缺陷和安全风险的方法。(个人理解)
 
 
 
摘要
 
本文从五个阶段介绍了渗透测试的注意事项,并举例说明。它们是:规划阶段、准备阶段、测试

阶段、复试阶段、总结阶段。
一.规划阶段,我理解的规划阶段包括两个要素,一个是开发漏洞

评级标准,另一个是开发报告模板。个人经验概述了脆弱性分类标准,参照下列数字:渗透测试

报表模板可以参考每个安全供应商的报表模板,并且有一个最简单的报表模板,包括:漏洞描述

、漏洞详细信息和修复建议。
 
 
二.筹备工作,筹备阶段分为若干步骤:渗透试验方案的说明(包括渗透测试的工作内容、标准

依据、风险防范措施、测试时间等,
标识业务系统(ip、url、系统名称、访问)渗透测试授权

书签名(包括授权方的姓名、联系人、联系电话、授权方、授权事项、授权时间、渗透测试方

法说明、授权方的申报、签名章、日期)测试帐号(1个高权限,2个低权限)。安全防护设备

美化渗透测试地址,
列渗透测试计划(系统名称,url,启动时间,结束时间,测试领导,紧急

联系人)。
 
 
 
三.测试阶段,测试阶段分为若干步骤:信息收集(包括:开发语言、框架、开源组件、路径、

背景地址)浏览站点,爬过站点目录结构脆弱性扫描,使用一些常见的安全漏洞,测试输入和

输出点,已查明的脆弱性产出报告摘要注意力:


 
信息收集也可以在准备阶段进行,以便向业务开发人员学习。您不能登录和扫描,您可以编写

脏数据对业务有影响。报告应严格编写,不产生与其本身业务系统或单位无关的信息。报告尽

可能以总分的形式提出,前面的脆弱性摘要,中间的脆弱性详细情况,最后总结和结论的全面

渗透测试。如果遇到多个漏洞(例如:多个sql注入),要指定漏洞细节中存在多个漏洞,请自

己检查它们并修改它们全部。(细节只是一点点,但是你要照顾好整个脸,在测试存储类型x

ss之前,检查插入字符位置是否有删除函数,如果没有删除函数,则进行存储类型xss测试,

避免插入恶意字符,不能删除,影响业务状况。在测试任何文件上传时,首先上传普通文件

,尝试上传webshell,webshell上传成功拦截证明截图,及时删除webshell。
 
 
 
 
四.订正阶段
 
注意力:如果首先发现面部问题,但只提到一个或多个点,请确保面部修复,而不是修复点

。(多次注射只能修复报告中的一个或多个引用。)在编写评审报告时,您应该总结评审的

状态,总结恢复的状态,并解释最终的网站安全。
 
 
 
五.监测阶段
 
建立一个完整的漏洞生命周期列表,包括系统名称、url、漏洞名称、风险级别、修复建议、

测试人员、初始测试完成时间、第一测试结果、第一测试时间、第二测试结果、第二测试时

间。对于那些不积极修复错误的开发团队,定期推进改进(1周推进),以及避免责任的安

全问题。
 
 
六.汇总阶段
 
我认为,摘要阶段包括三件事:项目团队总结了交付过程中遇到的风险和解决方案,以及

事故的解决方案,并以ppt、excel、word形式形成文档输出。在市场营销总结的面前,发

现销售、销售前和销售前存在着常见的安全问题,并形成了解决方案。面对客户的总结,

向客户报告整个项目的情况和结果,提出公开的一般问题和风险,让预售解决方案。
分享: