如何進(jìn)行Web滲透測試？

當(dāng)需要測試的web應(yīng)用數(shù)以千計(jì)，就有必要建立一套完整的安全測試框架，流程的較高目標(biāo)是要保證交付給客戶的安全測試服務(wù)質(zhì)量。

立項(xiàng)：項(xiàng)目建立，時(shí)間安排，人力分配，目標(biāo)制定，廠商接口人確定；

系統(tǒng)分析&威脅分析：針對(duì)具體的web應(yīng)用，分析系統(tǒng)架構(gòu)、使用的組件、對(duì)外提供的接口等，以STRIDE為威脅模型進(jìn)行對(duì)應(yīng)的安全威脅分析，輸出安全威脅分析表，重點(diǎn)關(guān)注top3威脅；

制定測試用例：根據(jù)威脅分析的結(jié)果制定對(duì)應(yīng)的測試用例，測試用例按照模板輸出，具備可執(zhí)行性；

測試執(zhí)行&漏洞挖掘：測試用例執(zhí)行&發(fā)散測試，挖掘?qū)?yīng)的安全問題or漏洞；

問題修復(fù)&回歸測試：指導(dǎo)客戶應(yīng)用開發(fā)方修復(fù)安全問題or漏洞，并進(jìn)行回歸測試，確保安全問題or漏洞得到修復(fù)，并且沒有引入新的安全問題；

項(xiàng)目總結(jié)評(píng)審：項(xiàng)目過程總結(jié)，輸出文檔評(píng)審，相關(guān)文檔歸檔。

上述就是為你介紹的有關(guān)如何進(jìn)行Web滲透測試的內(nèi)容，對(duì)此你還有什么不了解的，歡迎前來咨詢我們網(wǎng)站，我們會(huì)有專業(yè)的人士為你講解。

關(guān)鍵詞：  服務(wù)器安全  網(wǎng)站安全  網(wǎng)站安全防護(hù)  網(wǎng)站漏洞檢測  網(wǎng)站漏洞掃描  網(wǎng)站安全檢測