如何进行渗透测试

83 0 0

什么是渗透测试？渗透测试就是渗透测试工程师完全模拟黑客可能使用的攻击技术和漏洞发现技术，对目标网络、主机、应用的安全作深入的探测，发现系统最脆弱的环节的一种操作方式，以此这样的一整套流程做下来就可以对我们的服务器有一个了解，我们的服务器上是否需存在病毒，是否有被攻击的可能性。如何进行Web渗透测试？完整web渗透测试框架当需要测试的web应用数以千计，就有必要建立一套完整的安全测试框架，流程的最高目标是要保证交付给客户的安全测试服务质量。第一步需要立项，项目建立，时间安排，人力分配，目标制定，厂商接口等等这些外部因素都确定，这些都确定后就可以进行第二步系统分析&威胁分析。针对具体的web应用，分析系统架构、使用的组件、对外提供的接口等，以STRIDE为威胁模型进行对应的安全威胁分析，输出安全威胁分析表，在这里需要重点关注top3威胁，毕竟这是我们在渗透测试的关注对象。制定测试用例；根据威胁分析的结果制定对应的测试用例，测试用例按照模板输出，然后对可执行性进行分析；测试用例执行&发散测试，挖掘对应的安全问题or漏洞。问题修复&回归测试找出问题并对问题。进行检测：然后指导客户应用开发方修复安全问题or漏洞，并进行回归测试，最后确保安全问题or漏洞得到修复，并且没有引入新的安全问题。就这样就可以完成一整套的渗透测试。