文章目录
以下是优化后的内容:
作为甲方安全团队主导的渗透攻击,以下几点需要注意:
- 预备充分
与测试团队协调,提供乙方攻击所需的必要资源,以及具有甲方特色的资源。例如,如果认为自己的权限系统需要重点评估,那么应该在乙方需要账号资源时提供具有结构关系的账号体系以供乙方进行充分测试。 - 调和开发团队对渗透攻击的抵触心理
渗透评估工作本身就属于寻找潜在问题的行为。对于中高危漏洞,更是需要紧急处理的优先级。因此,我们需要与开发团队主管进行沟通,理解漏洞的风险现状,并倾听他们的排期建议,以便推动安全风险封堵和安全建设工作的顺利进行。 - 在乙方渗透报告出来后,阐明安全愿景并推动开发安全提升工作
第三方安全渗透是多个发现漏洞的渠道之一。与优秀的第三方合作伙伴合作可以获得更多关于漏洞复现描述、技术沟通和复测环节的服务。有漏洞并不可怕,可怕的是无法修复。因此,我们应该尽快对风险点进行理解和初步分类,这是一个协作的过程。
将漏洞初步分类后,独立推送给各主管,并提供标准疑惑收集和排期表,同步对核心漏洞进行理解工作,最后进行登记汇总。
下图展示了一个中型团队的简略处理过程:
