最近、標準貫入試験を終え、我々は、関連する情報のたくさんの本を参照し、侵入テストまとめた標準的な手順を整理する必要があります。
(1)IPD共通のプロセス、(統合製品開発)製品開発、概念および方法のモデルです。インターネット企業に堪能。
TR1--コンセプト段階技術評価点:製品の需要と技術的レビュー(ビジネス要件レビュー)の概念。
TR2--計画段階テクニカルレビューポイント1:レビューの要求仕様と要件分解(機能的ニーズ評価、製品レベルの仕様)。
TR3--計画段階テクニカルレビューポイント2:全体的なプログラム評価(システム設計、建築設計、レベルデザイン)。
TR4--開発段階テクニカルレビューポイント1:モジュール/システム評価(詳細設計、BBFV試験結果)。
リリース前に、TR4のWebの安全性試験の安全性のテストバージョンの後に、
私たちは、侵入テストのための自動化ツールを使用します(自動化された侵入テストを事前に)、それはいくつかの共通あなたが見つけるスクリプトクロスサイトなどの脆弱性、アップロードの脆弱性、SQLインジェクションなどの上を取得するだけです。ビジネスロジックの脆弱性に関するいくつかの安全上の危険性が最も大きいため、これらの脆弱性は、クライアントの脆弱性の脆弱性やロジック層のコードレベルに対してではありません。これらの一般的な脆弱性、攻撃者は、ビジネス・ロジックやアプリケーションへの攻撃で、その結果、更なる情報システムのアップグレード権を取得します。これは大きな害を与えます。アプリケーションやサービスに反映当社の従来のセキュリティ上の問題、主な用途は、主にサービスサーバに、携帯端末、携帯電話、ラップトップ、デスクトップ、などです。
スキャンテスト(2)Webアプリケーション(ツールAppScanの使用、げっぷスイート、Nmapは、WEbInset NStalker ACuentix WEbがVulnerablityスキャナといくつかの他のテストツール)、試験は、必然的に大きなインパクトを治療するための生成データまたはテストシステムを無駄につながる場合、テスト環境ので、我々は、Webの安全性テストを行うために使用されます。
(3)は、走査した後、共通の抜け穴契約に対する予約のスキャン結果後のサービスの仕事についての情報を収集します。(情報収集)