4000-110-253
渗透测试需求是否合理. 2021-02-02
近些年来,“渗透测试”是对攻防类服务需求响应较多的一个概念。大量的企业有着渗透测试的需求,今天我们说说大众对“渗透测试”需求是否真的合理!
答案是否定的,其原因可能在于对“渗透测试”这一概念产生了理解偏差,导致很大一部分项目都在用模糊的目标和模糊的需求进行以商务关系为基础的合作。
我们应当明确渗透测试的概念。这里引用CREST标准中对于“渗透测试”概念的描述:渗透测试是一种道德的攻击模拟,旨在通过实际利用特定场景中的漏洞来验证控制措施的有效性。即渗透测试的最终目标从来就不是发现应用中的漏洞,而是发现控制措施或防御手段中的“漏洞”。基于这个认识,我们平时进行的手工发现漏洞的工作,其实都称不上是标准的“渗透测试”。
渗透测试实施人员必须得是专家型人员。拥有足够经验的专家人员在未知的情况下采取“摸黑”去猜测实际情况的防御手段。
http://www.wonderonline.cn/
