深度業(yè)務(wù)滲透測(cè)試服務(wù)

WEB安全滲透測(cè)試的工作主要集中在SDL（Security Development Lifecycle）整個(gè)生命周期中的測(cè)評(píng)和運(yùn)營(yíng)階段，測(cè)試過(guò)程要基于業(yè)務(wù)和系統(tǒng)功能進(jìn)行，考慮到開(kāi)發(fā)生命周期的流程控制，我們將滲透測(cè)試分拆到2個(gè)過(guò)程分別進(jìn)行不同級(jí)別的安全測(cè)試方向。

在發(fā)布上線前的測(cè)試環(huán)節(jié)，滲透測(cè)試主要圍繞系統(tǒng)功能、業(yè)務(wù)邏輯、生產(chǎn)環(huán)境安全策略驗(yàn)證。依照OWASP TOP 10的威脅為基礎(chǔ)結(jié)合業(yè)務(wù)特性生成測(cè)試方案。其目的是因?yàn)橄到y(tǒng)功能、業(yè)務(wù)邏輯涉及到用戶(hù)體驗(yàn)且功能上線之后通常不會(huì)有大的改動(dòng)，因系統(tǒng)功能和業(yè)務(wù)邏輯所導(dǎo)致的安全問(wèn)題損失較為嚴(yán)重，被攻擊的概率也非常之大。因業(yè)務(wù)場(chǎng)景和功能的不同此階段的安全測(cè)試主要是人工測(cè)試為主，為了標(biāo)準(zhǔn)化此滲透測(cè)試過(guò)程，我公司特別為該過(guò)程設(shè)立了檢測(cè)范圍的標(biāo)準(zhǔn)。也是標(biāo)準(zhǔn)做為WEB安全滲透測(cè)試標(biāo)準(zhǔn)化交付中最為重要的一個(gè)環(huán)節(jié)。

在系統(tǒng)上線之后的安全測(cè)試就偏傳統(tǒng)一些，主要圍繞常規(guī)系統(tǒng)漏洞、應(yīng)用及版本的迭代產(chǎn)生的安全漏洞，此過(guò)程一般采用固定周期性的安全測(cè)試，測(cè)試方法主要依附工具或測(cè)試框架。