0004 ***測試項目
我在 0003 ***測試標準一文已經詳細記錄了***測試的 7 個過程,即前期交互階段、情報手機階段、威脅建模階段、漏洞分析階段、漏洞***階段、後***測試階段和報告階段。一個完整的***測試項目就是要圍繞這 7 點展開,在各個階段做好各個階段的事情。下面再針對一個***測試項目對這些過程進行一個補充說明。
1. ***測試範圍
***測試的範圍需要在前期交互階段與目標組織或者用戶進行協商。包括時間範圍、IP 和域名的範圍、是否有第三方的資源可用等。確定範圍是爲了有一個明確的***測試目標,針對這個明確的***測試目標進行定製化的***測試方案定製。
2. 獲取授權
在前期交互階段,其中獲取授權也是很重要的一點,如果沒有獲得目標系統***測試的權限就對目標系統發起***測試***,這是違反法律的。所以需要與目標組織或者用戶協商,獲取***測試授權。
3. ***測試方法
***測試的方法上因爲有的方式會對目標組織或者用戶造成損失,所以需要協商是否允許使用某些***測試的方法,使用的範圍以及限度。
3.1. 是否允許社會工程學
社會工程學是利用人性的弱點,***人性漏洞,這樣的***測試方法往往會對目標造成精神上的損失或者壓力。所以這種***測試的方法需要在前期交互階段就要明確是否可以使用,使用的限度等。
3.2. 是否允許拒絕服務***
拒絕服務***這種***測試的方式也是很具破壞性的,能夠直接導致目標系統癱瘓,不能正常提供服務。所以對於一個***測試的目標,需要知道拒絕服務***帶來的影響是否嚴重。前期交互階段也是要確認是否允許使用此類***測試方法的,以及使用時間範圍的確定等等。
4. ***測試的誤區
目前國內對***測試標準的不重視,往往***測試沒有嚴格按照流程來進行,所以很多***測試人員以爲一個簡單的網絡掃描,掃到漏洞並利用就完事了。其實***測試不能抱有掃瞄器就是一切的想法。應該從各個方面進行***測試。比如,***測試的時候要考慮業務邏輯上的漏洞,A 用戶不是否有權限訪問 B 用戶的數據,這種就是業務邏輯上的漏洞,而掃面器是掃描不到這類漏洞的,所以掃瞄器就是一切的思想是一定錯誤的,只能說掃描器可以發現大部分明顯的漏洞。但是深層次的漏洞是發現不了的。如果一個***測試項目只靠掃瞄器的話,那是一個不完整的***測試,漏洞是完全沒有挖掘乾淨的。
5. 總結
所以一個完整的***測試項目需要嚴格按照***測試的標準來執行。我們以後的***測試項目就要這樣來做。以上是我個人觀點,我也是初學者,理解難免有誤,還請大家多多指教,謝謝!