安全服务-渗透测试服务

渗透测试服务是网络安全服务里最常见，这里主要不谈技术，主要谈一下怎么去管理怎么去交付怎么去实施。毕竟渗透测试的技术肯定一篇文章是讲不完的。

渗透测试服务

渗透测试:

完全模拟黑客可能使用的攻击技术和漏洞发现技术，对目标系统的安全做深入的探测，发现系统最脆弱的环节，交付渗透测试报告及修复建议。

利用各种安全测试工具对网站及相关服务器等设备进行非破坏性质的模拟入侵者攻击，侵入系统并获取系统信息并将入侵的过程和细节总结编写成渗透测试报告，由此确定存在的安全威胁，并及时提醒安全管理员完善安全策略，降低安全风险。

一、授权书

想到最开始面试的时候，有一个认问我做渗透测试前最开始需要做什么？当然是先获得授权书。

渗透测试前必须要有客户的授权书，未经授权的渗透测试都是网络攻击。如果是单独的渗透测试项目还需要签一个保密协议。未经委托方允许，测试方不应向第三方及社会公众泄露与被测信息系统相关的一切信息，包括但不限于开发及运维人员个人信息以及因测试活动所获取的敏感信息，如网络架构、业务数据、安全漏洞等。

1. 测试方的渗透测试应在取得委托方授权的前提下开展。
2. 用户应对渗透测试所有细节和风险知晓、所有过程都在委托方的控制下进行。
3. 委托方和测试方应签署书面的甲乙双方渗透测试授权书。

二、渗透测试管理过程要求

这里主要是人员和工作还有以下测试方案的实施等相关管理要求

渗透测试过程管理要求包括：

1. 测试方应针对渗透测试工作各个相关角色明确定义和职责分工；
2. 测试方应针对渗透测试工作各个相关角色制定明确的操作规程；
3. 测试方应针对渗透测试工作的重要及关键操作建立审批流程；
4. 委托方应对渗透测试方的身份、背景及专业资质进行审查，并签署保密协议；
5. 测试方应在测试前向委托方提供真实准确的测试方案，方案内容包括但不限于测试项清单、测试时间计划和测试人员信息等；
6. 委托方和测试方均应设置紧急联系人，以便必要时进行沟通；
7. 测试方应对渗透测试制定实施计划，并根据实施计划推进渗透测试工作，实施计划应向所有渗透测试相关方同步；
8. 测试方应对渗透测试实施人员的行为规范进行书面规定，一旦发现违反行为规范的行为应严格按照规定处理；
9. 委托方可要求测试方在测试实施过程中，参照漏洞报告样例针对所发现的问题按需逐个提交漏洞报告；
10. 测试方应对渗透测试残留文件进行明确的记录和说明，测试方有义务协助委托方进行残留文件清除及排查工作；
11. 测试方应对测试结果出具正式的渗透测试报告，其中应至少包含渗透测试目标、人员、时间、测试步骤、测试分析和测试结论以及渗透测试报告样例所示的其它内容，应提供可落地的修复建议；
12. 测试方应建立信息安全防护机制，具有ISO/IEC 27001信息安全管理体系认证，对测试过程中涉及的全部信息做好防护，防止泄露或被窃取；
13. 委托方应指定或授权专门的部门负责渗透测试验收的管理，并按照管理规定的要求完成渗透测试验收工作。

(1)测试准备

测试准备主要是对相关的渗透测试工具和漏扫工具的准备，还有就是系统上线前的渗透测试需要做以下测试环境的准备，主要还是要模拟比较真实的环境下进行渗透测试。渗透测试工具也是有相关需求的，主要还是有一点不能将测试数据外带到第三方不可管控的平台上。

(2)测试对象

按照属性不同对测试对象分类如下：

1. 主机操作系统：Windows、Solaris、AIX、Linux、、SGI、Kylin等操作系统；
2. 数据库系统：MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、达梦等数据库管理系统；
3. 中间件：WebLogic、Tomcat、IIS、JBoss、Apache、Nginx等中间件；
4. 应用系统：Web、客户端、App、小程序、CMS等信息系统；
5. 网络安全设备:防火墙、入侵检测系统、交换机、VPN等网络安全设备；
6. 重要数据:业务数据、管理数据、个人隐私数据、日志数据等敏感数据。

(3)测试流程

渗透测试的流程一般为信息收集、漏洞扫描、漏洞验证和手工渗透测试。有的获得服务器权限什么的可能需要进行权限提升和内网横向渗透。最后需要清理渗透测试痕迹。有权限的自行删除后门webshell等测试产生的文件，无权限需要报备让相关测试对象运维人员将攻击痕迹清理。

(4)报告输出

按照跟客户确定好的范围，需要进行整理资料，并将资料形成报告.要对漏洞成因、验证过程和带来危害进行分析，并提出修补建议，对所有产生的问题提出合理高效安全的解决办法.完成渗透测试报告编写.渗透测试报告包括执行层面的内容、技术层面的内容.

1. 执行层面的内容:业务说明、测试策略方法说明、项目风险评估等；
2. 技术层面的内容:识别系统性问题和技术根源分析、渗透测试评价指标、技术发现、可重现结果、应急响应和监控能力、标准组成部分。

三、渗透测试交付物

(1)渗透测试报告

渗透测试报告这种大部分都是有公司模板的，基本上是不需要自己去弄一个模板，自己需要填的可能就是漏洞的风险等级、漏洞名称、测试过程的成果、还有相关POC请求等信息。

(2)渗透测试复测报告

这里其实就是在渗透测试报告哪里加一段复测过程和复测结果

(3)漏洞台账记录表

这里主要是建立一种漏洞台账的体系，一般在年范围的项目里比较多，在按次的渗透项目不常交付。就是记录以下那天发现了什么漏洞 什么时候修复的问题。