1、2017年6月1日颁布的《网络安全法》中,在做相关的安全测试过程中,首先要获得目标系统客户的授权才可以实施测试,如果未经授权,直接进行测试的话,是一种违法的行为。
所以在做相关的测试过程中,首先要获得授权,加盖双方的公司章,这样才能合法。
2、Metasploit、Nessus安全漏洞扫描器、Nmap、Burp Suite、OWASP ZAP、SQLmap等都是安全白帽子人员常见的测试工具,测试的过程中,会通过各种方式来发现目标系统所存在的安全漏洞。下图是一张web入侵的图片,主要是从哪些方面对一个网站发起入侵。
3、最后就是经发现的这些漏洞整理成报告,展现给客户看。小编从悬镜安全实验室专家那边了解到:一般的渗透测试报告都会包括以下几个方面。服务器资产情况,目标系统的相关信息,漏洞名称,漏洞级别,漏洞带来的影响,漏洞复现,漏洞修复建议等。
一般用户拿到测试报告进行修改后,再进行一次复测,复测没有漏洞,完成整个测试过程。
