在滲透測試的整個過程中,需要提前制定一個測試方案,各種因素都會影響最終的測試結論和結果。滲透測試的目标是最大限度地找出系統的漏洞,時間短,覆寫全面,說服力強。是以在方案的設計中,通過比較突出哪些方法更快更有效,滲透攻擊需要點到為止,不破壞系統,也需要有針對性和速度。是以,提出了一個子產品化的測試方案。單獨的方法測試後,設計自動滲透測試系統,然後實作和測試,得出結果。通過方法比較,可以獲得網站在建設和維護中的一些經驗。
因為WEB系統和網站本身都有一定的局限性,是以整個方案的目标就是找出更多的漏洞,配以一定的滲透攻擊,對網站系統進行評分,使網站維護人員能夠直覺地感覺到問題,有針對性地解決。整個過程可分為六個部分:測試前準備、資訊收集、漏洞掃描、系統滲透攻擊、安全評估和報告。需要注意的是,有些方法可能會導緻網站資訊洩露和系統整體損壞,是以在滲透測試過程中需要謹慎使用,如木馬感染、社會工程收集資訊、惡意代碼攻擊等,如果想要對自己機關或企業的網站或自己的網站以及APP進行滲透測試服務進行手工安全測試漏洞的話可以向網站安全公司或滲透測試公司尋求幫助,國内像SINE安全,鷹盾安全,綠盟,大樹安全,都是做安全滲透測試的。
保護要求:目前安全攻擊技術多,方法更新快,安全評價周期必須縮短,保證全網安全防護和攻擊防護。
隔離要求:許多安全攻擊逐漸從外部網絡滲透到内部網絡。雖然許多企業和機關已經在實體線路上隔離了内部和外部網絡,但當涉及商業活動和外部資訊交流時,一些隔斷将被取消,而不是使用特殊的機器通路。
驗證要求:網絡安全是一個多方面的問題,不僅涉及攻擊和保護,還涉及授權、權限、保密協定等内部問題。不同的登入使用者有不同的身份驗證,可以在一定程度上降低滲透到内部網絡的風險。
系統入侵檢測要求:目前的系統和平台基本都有防火牆,但我們在不斷的研究和測試中也發現,雖然防火牆穩定,可以立即緊張通路,但畢竟是靜态的,網絡攻擊是動态的,方法有很多,是以必須配備入侵檢測方法和安全評估方法。
漏洞威脅要求:由于網站系統和平台都是人工編碼設計的,是以在設計中代碼的書寫和邏輯規範往往會出錯,大部分都是在實作功能的前提下忽略了代碼的簡潔性和嚴謹性,導緻攻擊漏洞。不定期的漏洞掃描和安全評估可以有效應對這一點,發現代碼設計、系統設計的不完善和修複可以有效防止網絡攻擊。