渗透测试服务以人工服务为主,我们的渗透测试人员在取得您的授权后,将对目标系统进行全面的渗透测试工作,总体流程如下:
- 客户订购与需求匹配的服务规格并下单付款。
- 客户经理会与您取得联系,协助您完成《业务需求单》及《渗透测试授权书》的填写,您需要如实填写以下内容:
- 域名备案信息比对,必须为真实、合法信息。
- 被检测的IP主机信息。
- 如您为天翼云托管用户,需要提供域名清单,解析后必须为天翼云主机IP,才可提供渗透测试服务。
- 您所提供的应用url描述须写明功能是什么或用途是什么。
- 业务接口人联系方式,您需提供一个具有对渗透测试方案及渗透测试过程中出现的问题有决定权的业务接口人联系人。
- 如您有安全防护设备,应在渗透测试开始阶段将渗透测试所用的公网IP加入安全防护设备白名单,避免因渗透测试工作带来的告警。(如在渗透测试开始阶段客户未将渗透测试所用的公网IP加入安全防护设备白名单,由此产生的告警及对渗透测试结果的影响,我方不承担责任)。
- 您需签订渗透测试授权书。
- 我们会根据您提供的信息,与您进行沟通,编写渗透测试方案,并与您确认测试细节,双方确认无误后,将进入渗透测试环境,渗透测试工作主要包含如下步骤:
- 明确目标:确定渗透测试的范围,如IP、域名、内外网、整站或部分模块,确定规则,如能渗透到什么程度,是发现漏洞为止还是继续利用漏洞,确定需求,如web应用的漏洞,业务逻辑漏洞,人员权限管理漏洞。
- 信息收集:在信息收集阶段要尽量收集关于项目软件的各种信息,例如,对于一个Web应用程序,要收集脚本类型、服务器类型、数据库类型以及项目所用到的框架、开源软件等。
- 漏洞探测:进行漏洞探测,包括手动和自动探测。
- 漏洞验证:对探测出的漏洞进行验证,确定其真实存在。
- 信息分析:对收集到的信息进行分析,尝试利用漏洞获取数据。
- 利用漏洞获取数据:如果能够利用漏洞获取数据,则进行数据获取。
- 信息整理:对获取到的数据进行整理,方便后续分析。
- 形成报告:根据渗透测试的实际情况,形成详细、专业的报告。
- 形成报告后,我们会将报告发送给您,您可以根据报告内容,发现系统漏洞,及时加固完善。
以上为渗透测试的基本服务流程,如您在服务过程中有任何问题,请您与客户经理联系并反馈,我们会尽快为您处理。
