渗透测试要怎么做？

渗透测试的一般做法

很多企业应用，特别是web应用，利用商业的漏洞扫描工具做安全/渗透测试比较多。利用这种商业性漏洞扫描工具进行自动化扫描的比较多。但是由于一些不太确定的原因，自动化扫描出来的结果有很多是误报，结果是不太准确的。

反而在企业中，进行手动做渗透测试的不多。如果不手动去排查漏洞，其实可能会漏掉一些比较严重的漏洞。那么为什么手动渗透测试比较重要呢？

• 只有自己是最了解自己的，企业内部专人去手动排查安全漏洞，会比较有侧重点，这样就可以达到事半功倍的效果。
• 自动化扫描，只是基于一些既定规则的扫描，扫描工具对于被测系统远达不到内部人士了解的深入。
• 手动排查可以和自动化扫描进行配合，达到渗透测试效果最大化。

手动渗透测试的一般做法

• 一般包含对源代码进行复核，类似于白盒测试，检查是否有安全方面的漏洞，比如一些重要逻辑在极端情况下是否有漏洞。
• 对于一些比较重要的接口，进行渗透方面的测试。比如我自己曾经做过积分兑换方面的渗透测试，发现用户在页面操作调用到的接口是可以在 postman中修改的，可以修改奖品兑现需要的积分数，这样就会造成商家的损失。所以这也是一种数据或者财务安全方面的漏洞。