登录控制台

常见问题

作者:蔚可云 时间:2020-12-07

1.渗透测试跟漏洞扫描的区别?

A: 执行方式上,渗透测试需由经验丰富的安全专家手动进行,手段灵活,测试过程中专家会利用不同的漏洞进行组合式攻击,验证是否有任何方式一种方式可突破当前系统的防御。渗透测试为求仔细,通常需要费时多天才能完成,因此耗费的人力成本较高。而漏洞扫描可由自动化扫描软件在较短的时间内执行完毕,因此时间与金钱成本相对较低。但是漏洞扫描仅能检测既有的漏洞(漏洞库中的漏洞),无法及时检测出最新的安全漏洞、业务逻辑漏洞,对于漏洞的误判率也较高,最主要的是漏洞扫描缺乏对漏洞的利用。目前渗透测试为求完整,通常已将漏洞扫描包含在内。
渗透测试跟漏洞扫描的区别如下:
常见问题

2.漏洞扫描能够发现漏洞,为什么还需要渗透测试?

为了评估系统的脆弱性以提高安全防御能力,往往会采取各种方法,漏洞扫描、渗透测试、风险评估等。漏洞扫描能够发现一些常规的安全漏洞,能够较快的发现安全风险项,可以作为日常安全运营的重要手段,但是不能完全依赖,因为自动化扫描工具存在一定的局限性。没有一个单独的工具能够发现网络或web应用程序中所有的漏洞,特别是业务逻辑相关的漏洞,这是自动化工具无法发现的,而这些漏洞往往容易造成实际损失;此外,自动化工具误报率较高,特别是碰到安全设备的情况下,其往往无法绕过安全限制,无法探测实际存在的漏洞。最好的办法是漏洞扫描器和专家手动测试结合起来;相比漏洞扫描,渗透测试更加灵活,能够发现深层次的漏洞并利用,评估系统实际存在的缺陷;因此,推荐使用渗透测试服务。

3.安全专家如何评估渗透测试项目?

安全专家从渗透测试工作内容、复杂度的角度来评估项目。渗透测试工作内容、复杂度主要跟渗透测试方式(黑盒、白盒)、目标系统规模、系统类型、业务类型、系统用途、使用人群、网络隔离情况、系统开发语言、数据库、网络拓扑、代码审计、测试目的等方面相关,安全专家根据获取到的信息综合评估,确定项目工作成本,给出项目报价。因此,在前期交涉过程中,应尽可能详尽咨询,详细参考《网宿渗透测试服务客户需求调查表》 。如客户需求有变更(增加或减少目标),应及时沟通,以避免造成损失。

4.渗透测试一般周期多久?

对于一个网站进行高级渗透,一般需要十个工作日左右的工作量,需根据实际环境、需求细致评估。

5.渗透测试结果交付内容有哪些?

A:网宿渗透测试服务完成之后,会根据渗透测试结果输出《渗透测试报告》,报告内容涉及:渗透测试方案说明(目标、目的、策略、风险规避等)、结果概览、漏洞详情分析(漏洞、漏洞原理、漏洞位置、漏洞验证、漏洞影响、漏洞间接影响评估、修复建议)、总结分析;并且,根据客户需求,可为客户漏洞修复提供一定的指导;最后,在客户修复完成之后进行复查,以确保漏洞被修复。

6.渗透测试有何风险?如何规避?

渗透测试过程中有很多可预见性和不可预见性的风险存在,为避免对客户业务系统造成重大影响,一般采取以下措施:
(1)避免在客户业务高峰期进行渗透测试;
(2)对重要业务、数据提前进行备份;
(3)渗透测试方案与客户相关业务人员确认后方可进行,特别是有高风险的行为;
(4)尽量使用测试系统进行测试;
本页目录