最近整理渗透测试的标准,需要梳理归纳出一个渗透测试的标准流程,参考了很多相关的书籍资料。
(1)IPD常见的流程,(Integrated Product Development)是一套产品开发的模式、理念与方法。熟练应用在互联网企业中。
TR1——概念阶段技术评审点:产品需求和概念技术评审(业务需求评审)。
TR2——计划阶段技术评审点1:需求分解和需求规格评审(功能需求评审,产品级规格)。
TR3——计划阶段技术评审点2:总体方案评审(系统设计,架构设计,概要设计)。
TR4——开发阶段技术评审点1:模块/系统评审(详细设计,BBFV测试结果)。
在产品发布之前,安全测试是TR4版本之后,对Web进行安全测试,
我们使用自动化工具进行的渗透测试(前期的自动化渗透测试),单纯的拿到的是部分常见的的漏洞,比方你发现的跨站脚本,上传漏洞,SQL注入等。这些漏洞并不是针对用户端的代码层的漏洞或者逻辑层的漏洞,对于一些业务逻辑上的漏洞的安全性危害是最大的。常见的这些漏洞会是攻击者进一步获取系统信息升级权限,从而造成对业务逻辑和应用上的攻击。这样就危害大了。 我们常规的安全问题反映在应用上和服务上,应用上主要是移动端,手机,笔记本,台式机等的,服务上主要是服务器。
(2)WEb应用的扫描测试 (使用的工具 APPScan , Burp Suite , Nmap,WEbInset NStalker ACuentix WEb Vulnerablity Scanner 等一些测试工具),测试的时候必然会导致产生垃圾数据或者对待测试的系统产生较大的影响,所以我们使用的测试环境来做Web安全测试。
(3)扫描之后对协议存在的常见的漏洞保留扫描结果之后进行服务信息的收集工作。(信息收集)