4000-110-253
滲透測試服務做(zuò)好準備工作(zuò). 2021-01-28
客戶滲透測試進行(xíng)前和(hé)用戶溝通(tōng)哪些(xiē)事項非常必要?像是滲透測試的目的?用戶需求是什麽?不同的目的将決定不同漏洞評估等級,測試過程中将會(huì)感受到不同的方法。
滲透測試總體(tǐ)目标:總體(tǐ)目标通(tōng)常分為(wèi)服務器(qì)和(hé)軟件系統,這兩個(gè)總體(tǐ)目标的滲透方式大(dà)緻相同。做(zuò)軟件系統的滲透測試,還(hái)要辨别軟件系統後端的服務器(qì)。往往在軟件系統滲透失敗的時(shí)候,我們可(kě)以從服務器(qì)層面突破,反之亦然。
在不同的總體(tǐ)目标環境下,滲透測試也會(huì)面臨一個(gè)問題,就是如何訪問總體(tǐ)目标環境。一般來(lái)說,我們可(kě)以直接測試對互聯網開(kāi)放的生(shēng)産系統或服務器(qì);但(dàn)是,如果用戶的測試總體(tǐ)目标是內(nèi)部系統或服務器(qì),特别是測試環境,則不能直接訪問互聯網。
在執行(xíng)時(shí)間(jiān)上(shàng),應當主動和(hé)用戶确認,尤其是在生(shēng)産環境中。當然滲透測試過程中應當有(yǒu)風險規避方案,和(hé)用戶協商制(zhì)定好的風險規避方案,這能利于應對測試過程的各種突發事件。在實施系統備份中應當制(zhì)定應急計(jì)劃,這樣的話(huà)就能在緊急情況下将系統恢複;此外試驗期間(jiān)的安全監控應當做(zuò)好,在發現異常時(shí)應當立即停機。
/
