渗透测试

渗透性测试（Penetration Test）是指渗透测试者在用户授权的前提下，尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段，对目标网络/系统/主机/应用的安全性作深入的探测，发现系统存在的漏洞和安全隐患，并协助解决存在的漏洞和安全隐患，挺高系统的安全防范能力。

▶ 制定方案：渗透测试方案是对技术检测工作的说明，即向用户展示技术检测范围、技术检测可能会采取的测试手段、技术检测风险以及规避措施、技术检测工具等。 ▶ 客户授权：客户正式书面授权委托，并同意实施方案是进行技术检测的必要条件，是技术检测人员进行合法技术检测的基础，是合同双方遵从法规并受法律保护的前提。客户正式签署技术检测授权书后，技术检测工作方可正式开始。 ▶ 信息收集操作：收集渗透性测试所需信息（包括设备存活情况、网络拓扑情况以及扫描发现漏洞情况等），准备相关测试工具。在测试过程中，根据渗透深度情况，不断收集相关环境信息及漏洞情况，并进行综合分析。 ▶ 渗透测试：根据信息搜集与分析的结果，初步拟定渗透测试方法、测试项以及攻击路径，使用模拟黑客攻击的手段，对被评估系统进行渗透。 ▶ 生成报告：技术检测报告是对整个检测工作的总结，技术检测报告将会十分详细的说明技术检测过程中的得到的数据和信息，分析系统目前的安全状况，并给出安全建议，并且将会详细的纪录整个技术检测的全部操作。

▶ GB/T 30276-2020 信息安全技术 网络安全漏洞管理规范 ▶ GB/T 30279-2020 信息安全技术 网络安全漏洞分类分级指南 ▶ GB/T 30276-2020 信息安全技术 网络安全漏洞标识与描述规范 ▶ GB/T 33561-2017 信息安全技术 安全漏洞分类 ▶ GB/T 18336-2008 信息技术安全性评估准则 ▶ GB/T 20274-2008 信息系统安全保障评估框架 ▶ OWASP Testing Guide v4 ▶ Web Security Threat Classification ▶ Information Systems Security Assessment Framework ▶ Open-Source Security Testing Methodology Manual v3