@CI
3年前 提问
1个回答

网站渗透测试大概需要多久

007bug
3年前

渗透测试通常指模拟黑客采用的漏洞发掘技术及攻击方法,测试工程师对被测试单位的网络、主机、应用及数据是否存在安全问题进行检测的过程,对于一个网站进行高级渗透,一般需要十个工作日左右的工作量,需根据实际环境、需求细致评估。

渗透测试服务主要分为四个阶段,包括测试前期准备阶段、测试阶段实施、复测阶段实施以及成果汇报阶段。

(1)前期准备阶段

在实施渗透测试工作前,安全技术人员会和客户对渗透测试服务相关的技术细节进行详细沟通。确认渗透测试的方案,方案内容主要包括确认的渗透测试范围、最终对象、测试方式、测试要求的时间等内容。同时,双方完成签约,签署渗透测试授权书。

(2)测试阶段实施

在测试实施过程中,安全技术人员首先使用自动化的安全扫描工具,完成初步的信息收集、服务判断、版本判断、补丁判断等工作。

然后由人工的方式对安全扫描的结果进行人工的确认和分析,并且根据收集的各类信息进行人工的进一步渗透测试深入。

结合自动化测试和人工测试两方的结果,安全技术人员整理渗透测试结果并编制渗透测试报告,包含存在漏洞及修复建议,对报告内容与客户进行修复沟通。

(3)复测阶段实施

在经过第一次渗透测试报告提交和沟通后,协助客户针对渗透测试发现的问题整改或加固。经客户方整改或加固完成后,安全技术人员进行复测。复测结束后提交复测报告和对复测结果与客户进行沟通。

(4)成果汇报阶段

根据两次的测试结果,整理渗透测试工作输出成果,做最后项目汇报。