渗透测试标准流程解析-优快云博客

0004 ***测试项目

我在 0003 ***测试标准一文已经详细记录了***测试的 7 个过程，即前期交互阶段、情报手机阶段、威胁建模阶段、漏洞分析阶段、漏洞***阶段、后***测试阶段和报告阶段。一个完整的***测试项目就是要围绕这 7 点展开，在各个阶段做好各个阶段的事情。下面再针对一个***测试项目对这些过程进行一个补充说明。

1. ***测试范围

***测试的范围需要在前期交互阶段与目标组织或者用户进行协商。包括时间范围、IP 和域名的范围、是否有第三方的资源可用等。确定范围是为了有一个明确的***测试目标，针对这个明确的***测试目标进行定制化的***测试方案定制。

2. 获取授权

在前期交互阶段，其中获取授权也是很重要的一点，如果没有获得目标系统***测试的权限就对目标系统发起***测试***，这是违反法律的。所以需要与目标组织或者用户协商，获取***测试授权。

3. ***测试方法

***测试的方法上因为有的方式会对目标组织或者用户造成损失，所以需要协商是否允许使用某些***测试的方法，使用的范围以及限度。

3.1. 是否允许社会工程学

社会工程学是利用人性的弱点，***人性漏洞，这样的***测试方法往往会对目标造成精神上的损失或者压力。所以这种***测试的方法需要在前期交互阶段就要明确是否可以使用，使用的限度等。

3.2. 是否允许拒绝服务***

拒绝服务***这种***测试的方式也是很具破坏性的，能够直接导致目标系统瘫痪，不能正常提供服务。所以对于一个***测试的目标，需要知道拒绝服务***带来的影响是否严重。前期交互阶段也是要确认是否允许使用此类***测试方法的，以及使用时间范围的确定等等。

4. ***测试的误区

目前国内对***测试标准的不重视，往往***测试没有严格按照流程来进行，所以很多***测试人员以为一个简单的网络扫描，扫到漏洞并利用就完事了。其实***测试不能抱有扫瞄器就是一切的想法。应该从各个方面进行***测试。比如，***测试的时候要考虑业务逻辑上的漏洞，A 用户不是否有权限访问 B 用户的数据，这种就是业务逻辑上的漏洞，而扫面器是扫描不到这类漏洞的，所以扫瞄器就是一切的思想是一定错误的，只能说扫描器可以发现大部分明显的漏洞。但是深层次的漏洞是发现不了的。如果一个***测试项目只靠扫瞄器的话，那是一个不完整的***测试，漏洞是完全没有挖掘干净的。