@Lemon
1年前 提问
1个回答

等保测评和渗透测试哪个好

GQQQy
1年前

两者没有可比性,渗透测试是等保测评中一种非常重要的技术手段,渗透测试,是为了证明网络防御按照预期计划正常运行而提供的一种机制,主要是用于等级保护测评后期加固网络安全的一种技术手段,所以两者不存在哪个好,是一种相辅相成的关系。

渗透测试前需要做以下准备:

  • 明确目标和合同要求;

  • 测试目标的范围、IP、域名、内外网、测试账户,渗透的程度和时间、能否修改上传、提权等

  • 确定是进行黑盒测试、白盒测试或者灰盒测试;

  • 确定需求,根据需求和自己技术能力来确定能不能做,能做多少,能渗透到什么程度,时间,签合同。

  • 信息收集采用主动扫描还是被动扫描的方式,扫描哪些IP、网段、域名、端口等信息。

  • 结合漏洞去exploit-db等位置找利用,在网上寻找验证poc。

  • 发现的有可能可以成功利用的全部漏洞都验证一遍。结合实际情况,搭建模拟环境进行试验。成功后再应用于目标中。