腾讯云渗透测试流程

实施流程
此阶段是渗透测试服务的计划和启动阶段,是项目执行阶段的开始,对项目后期的发展方向非常重要。在此阶段的主要工作是召开渗透测试服务项目启动会议,双方就测试范围,项目实施计划进行沟通和确认,对系统本身的备份与恢复机制进行确认,建立良好的风险规避处置措施,同时获得客户的渗透测试授权。
 
参与人员:客户方系统负责人与腾讯云服务人员。
 
阶段输出:《渗透测试授权书》《信息系统资产清单(含测试账号)》
 
信息收集阶段
此阶段是渗透测试服务实施的第一阶段,是渗透测试正式开始的阶段。该阶段共分为四部分工作内容:网络收集、端口扫描、应用分析与漏洞扫描,即通网络架构、端口开放情况、应用系统本身功能以及服务器本身漏洞情况,使渗透测试工程师更好地了解目标系统的实际情况,从而对可能存在的系统脆弱点进行探测。
 
参与人员:客户系统工程师与腾讯云服务人员。
 
操作验证阶段
此阶段是渗透测试服务实施的中期阶段,是渗透测试已发现部分脆弱点,尝试进一步验证与更深层次漏洞挖掘的阶段。该阶段共分为三部分内容:漏洞验证、获取权限与提权测试与测试痕迹清理工作。对扫描发现的安全漏洞进行验证,验证各安全漏洞是否可以利用,并且尝试获取主机系统或应用系统的权限,进一步进行提升信息系统管理权限测试。最后将对渗透结果及过程进行记录保存,对测试过程中产生的测试痕迹进行清理,确认清理完全后退出目标应用系统。
 
参与人员:腾讯云服务人员。
 
报告输出阶段
对渗透测试结果记录进行分析整理,确保渗透测试报告的准确性及可读性,同时提供问题针对性的安全解决措施与安全建议。
 
阶段输出:《XX系统渗透测试报告》

标签