问web应用程序安全测试定义

EN

在渗透试验中，必须事先确定试验的极限和界限。公司和笔试人员必须就一套可以进行的测试达成协议，并在进行测试之前起草法律文件以保护双方。

对于一个详细的测试，它应该包括开发步骤，以充分测试系统。应根据具体的方法一步一步地进行渗透试验，以确保不遗漏任何东西。

渗透测试包括多个重要方面，

( A)在进行渗透测试之前，公司(A)和公司(P)必须界定界限、应测试什么、什么、如何、何时、何时。有时，公司(A)提供一台测试膝上型计算机，并提供渗透测试仪所要求的工具。创建法律文件，以确保两家公司的安全。

( B)遵循法律文件和公司(A)要求的渗透测试类型，以及公司(P)提供的渗透测试类型，测试人员将逐步发现系统中的缺陷。

例如，可能要求渗透测试器遵循特定的方法，如ISSAF或OWASP、OSSTMM、NIST等，以满足公司(A)的要求。一些公司(P)也有自己的和具体的方法可供使用。

有些公司可能要求渗透测试人员利用这些漏洞，而另一些公司可能只要求渗透测试人员提供可能的漏洞，这完全取决于他们的需求。(使用“利用”步骤总是更好，但有时应该避免，特别是在某些情况下)

渗透测试应该总是由知道自己在做什么的人来完成，通常有些公司试图复制渗透测试，但由于缺乏知识(工具、影响等)，他们的测试应该始终是一份法律文件、一种适当的方法，在某些情况下还应该是一名主管。

演讲者并不总是知道“漏洞扫描”和“渗透测试”之间的区别，因此询问他们到底想要/想象什么是好的。