NISP网络安全中渗透测试的流程是什么

1.明确方向

1）明确范畴：测试范畴，如：IP、网站域名、内外网、全站or一部分控制模块

2）明确标准：能渗入到何种程度（发觉系统漏洞才行or再次运用系统漏洞）、限制时间、能不能改动提交、能不能漏洞利用...

总体目标系统玩法攻略、重点保护对象及特点。

是不是容许数据信息毁坏？

是不是容许阻隔业务流程正常运转？

检测以前是不是理应通知有关部门接口人？

接入方式？外网地址和内部网？

检测是发现的问题即使取得成功，或是尽可能发觉多问题？

渗入全过程是否要考虑到社会工程？

3）明确要求：web应用的系统漏洞(新出来的程序流程)？业务流程逻辑漏洞（对于业务）？工作人员管理权限管理漏洞（对于工作人员、管理权限）？

根据自己的需求跟自己专业能力来决定做不做、可以做是多少

2.剖析风险性，得到受权

剖析网站渗透测试环节中可能出现的风险性，如很多数据测试的处理方法、危害正常的业务开展、网络服务器产生异常紧急、数据信息备份与恢复、检测财力物力成本费...

由检测方撰写实施意见原稿同时提交给顾客（or本企业内部领导干部）进行审查。在申报结束后，从客户（or本企业内部领导干部）获得对检测方开展书面形式委托授权书，受权检测方开展网站渗透测试。

3.信息搜集

在信息搜集环节，我们应该尽可能多的搜集关于目标web应用的所有信息，例如：开发语言的种类、云服务器种类、文件目录的构造、所使用的开源项目、数据库类型、全部连接网页页面，需要用到的架构等。

方法：积极扫描仪；对外开放检索

对外开放检索：使用百度搜索引擎得到后台管理、未经授权网页页面、比较敏感url

​