缔赛渗透测试服务-

渗透测试 (Penetration Test)是指安全渗透测试者尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段，对目标网络/系统/主机/应用的安全性作深入的探测，发现系统最脆弱的环节的过程。
客户委托是我公司进行渗透测试的必要条件。我公司将尽最大努力做到使客户对渗透测试所有细节和风险的知晓、所有过程都在客户的控制下进行。这也是我公司的专业服务与黑客攻击人侵的本质不同。
主要流程如下：
1.1对接
测试工作对接人一般是项目人员或客户人员，对接过程中，预约测试起止时间。客户方有合理原因要求加急测试时，在满足实际测试需要的前提下，适当的适配客户的加急要求，本次安全测试预计时间一周。
1.2授权
在标准版《安全测试授权书》内填写测试系统、系统信息、授权时间等信息后，以PDF形式发送给对接人。除使用测试数据的测试环境可由项目组签字授权外，针对正式数据、正式环境的测试授权均应由客户（系统所有者）人员签字。
授权时间，建议预估一个包含复测时间在内的较长时间，避免多次复测、多次授权时带来麻烦。
1.3测试
参考资料《OWASP安全测试指南》，测试方法模板《应用渗透测试报告（模板）》。
常用测试工具：漏扫工具（绿盟、安恒、Xray、AWVS、OWASPZAP、冰蝎、sqlmap等），信息收集工具（子 域名 挖掘机、nmap、御剑、shodan、zoomeye等）、kali linux所包含的工具等。
有用户体系的系统，应向对接人索要不同权限组账户各1个。
如果权限组过多，应提供管理员账户1个，普通用户账户2个，用于垂直越权和水平越权。客户特殊情况无法提供足够账户的除外，此时可在报告中备注沟通情况。
测试报告的测试步骤，应步步推进论证、有理有据。
测试报告的修复方式，应根据实际情况进行编写、修改、删减，避免造成漏洞实际情况和修复方式不匹配的情况。
首测完成后，以邮件形式向对接人反馈pdf形式首测报告（应用渗透测试报告+应用安全评估报告+系统安全评估报告），以其他途径反馈的微信、U盘途径，应使用压缩包并设置密码。
1.4修复
首测报告发送后，修复方案最好有安测人员积极参与，在修复前评估开发人员选择的修复方式，避免复测时发现他们选择了错误的修复方式，浪费双方时间。
1.5复测
对方反馈修复完成后，以首测报告为基础进行复测。
复测中如发现新漏洞，建议：不额外增加低风险、不回避高风险、中风险视目标系统和项目具体情况确定处理方式。
在首测报告漏洞表格下增加“修复验证”一栏。
1.6输出成果
可能多次重复修复-复测的过程后，确认系统已没有高中风险，则出具最终的PDF复测报告，反馈给对接人。