NISP网络安全中渗透测试的流程是什么

1.明确方向

1)明确范畴:测试范畴,如:IP、网站域名、内外网、全站or一部分控制模块

2)明确标准:能渗入到何种程度(发觉系统漏洞才行or再次运用系统漏洞)、限制时间、能不能改动提交、能不能漏洞利用...

总体目标系统玩法攻略、重点保护对象及特点。

是不是容许数据信息毁坏?

是不是容许阻隔业务流程正常运转?

检测以前是不是理应通知有关部门接口人?

接入方式?外网地址和内部网?

检测是发现的问题即使取得成功,或是尽可能发觉多问题?

渗入全过程是否要考虑到社会工程?

3)明确要求:web应用的系统漏洞(新出来的程序流程)?业务流程逻辑漏洞(对于业务)?工作人员管理权限管理漏洞(对于工作人员、管理权限)?

根据自己的需求跟自己专业能力来决定做不做、可以做是多少

2.剖析风险性,得到受权

剖析网站渗透测试环节中可能出现的风险性,如很多数据测试的处理方法、危害正常的业务开展、网络服务器产生异常紧急、数据信息备份与恢复、检测财力物力成本费...

由检测方撰写实施意见原稿同时提交给顾客(or本企业内部领导干部)进行审查。在申报结束后,从客户(or本企业内部领导干部)获得对检测方开展书面形式委托授权书,受权检测方开展网站渗透测试。

3.信息搜集

在信息搜集环节,我们应该尽可能多的搜集关于目标web应用的所有信息,例如:开发语言的种类、云服务器种类、文件目录的构造、所使用的开源项目、数据库类型、全部连接网页页面,需要用到的架构等。

方法:积极扫描仪;对外开放检索

对外开放检索:使用百度搜索引擎得到后台管理、未经授权网页页面、比较敏感url

你可能感兴趣的:(网络,安全,web安全,安全架构)