问渗透测试标准

EN

优秀的笔试员通常有三种品质:注意细节，同时遵循灵活的过程，这样就不会错过任何东西；当他们有直觉感觉“有东西”时，耐心地继续做某事；以及大量的经验(这是他们最初获得“直觉”感觉的方式)。

糟糕的pen测试人员遵循严格的检查清单过程(不管测试期间的发现如何)，使用基本工具，只需将工具输出报告给客户端。优秀的pen测试人员可以检查发现，了解和讨论与漏洞相关的真实世界风险。

可怜的pen测试人员不了解他们的工具发现的漏洞的所有含义。优秀的pen测试人员已经或可以预见到如何进一步利用一个漏洞，或者如何组合多个漏洞来产生更大的风险。优秀的笔试人员也可以建议对技术控制进行补偿，而不是最直接的建议。

可怜的笔试员在他们的过程中往往不透明。优秀的笔试人员乐于展示他们的工作，他们的日志，以及(也许更重要的)讨论他们没有测试的内容，以及为什么。

可怜的笔试者有时相信，甚至告诉他们的客户，一个干净的测试结果意味着他们正在测试的系统是‘安全的’！优秀的pen测试人员还了解pen测试作为总体安全治理方案的一部分的作用，他们自己的工作可能没有100%的覆盖率，只是测试时安全状态的快照。

五酯不可能单独工作，有太多的错误和遗漏。如果您正在寻找认证，请在团队或成员公司级别寻找.

在英国(我来自美国，但我意识到英国的质量标准明显高于我们的标准)，两个主要标准(以及一起去)是CBEST渗透测试服务和老虎计划检查小组组长/小组成员资格。