Pre-engagement - The Penetration Testing Execution Standard
本文为摘录(或转载),侵删,原文为: http://www.pentest-standard.org/index.php/Pre-engagement
1 Overview
本节的目的是介绍和解释可用于成功进行渗透测试预接洽步骤的工具和技术。本节的信息源于一些世界上最成功的渗透测试人员多年来的丰富经验。
如果您是寻求渗透测试的客户,我们强烈建议您查看本文件的常见问题部分。该部分涵盖了在测试开始之前应回答的重要问题。请记住,渗透测试不应是对抗性的活动。它不应该只是测试人员能不能“黑进”您的系统,而是要识别与攻击相关的商业风险。
为了获得最大价值,请确保涵盖本文件中的问题。此外,在范围确定活动进行的过程中,优秀的测试公司将开始提出针对您组织的额外问题。
2 Introduction to Scope 范围的介绍
定义范围可以说是渗透测试中最重要的组成部分之一,但它也是最常被忽视的部分。虽然有关用于访问网络的不同工具和技术已经撰写了许多书籍,但关于渗透测试之前的准备工作的话题却鲜有著述。忽视正确完成预接洽活动可能会给渗透测试人员(或其公司)带来一系列麻烦,包括范围蔓延、不满的客户,甚至法律问题。 项目的范围具体定义了将要测试的内容。 测试的每个方面将如何进行将在参与规则部分进行说明。
确定参与范围的一个关键组成部分是概述测试人员应如何分配时间。例如,客户要求测试一百个 IP 地址,费用为 100,000
美元。这意味着客户提供的测试费用为每个 IP 地址 1,000 美元。然而,这种成本结构仅在该数量下有效。一些测试人员常常陷入的一个常见陷阱是, 在测试过程中保持线性的费用结构 。如果客户只请求对一个业务关键应用程序进行测试,并且仍然按照相同的定价结构( 1,000 美元),那么虽然测试人员仍然只针对一个 IP 进行攻击,但工作的量却大大增加。因此,根据工作量变动费用是很重要的。否则,公司可能会发现自己对服务定价过低,这会促使他们完成工作时不够彻底。
尽管有一个 solid 的定价结构,但这个过程并不是完全黑白分明的。客户常常对他们需要测试的内容一无所知,也可能不知道如何有效地传达他们对测试的期望。因此,在预接洽阶段,测试人员能够在客户可能不熟悉的领域中充当向导是很重要的。测试人员必须理解,集中于单个应用程序进行高强度测试与客户提供广泛的 IP 地址进行测试(目标只是找到进入的方法)之间的区别。
3 Metrics for Time Estimation 时间估算指标
4 Questionnaires 问卷调查
在与客户的初步沟通中,有几个问题需要客户回答,以便能够正确估算参与的范围。这些问题旨在更好地理解客户希望通过渗透测试获得什么,客户为什么希望对其环境进行渗透测试,以及他们是否希望在渗透测试中进行特定类型的测试。以下是此阶段可能会问的示例问题。