滲透測試中的攻與守

授權滲透測試的監測手段

　　在評估過程中，由于滲透測試的特殊性，用戶可以要求對整體測試流程進行監控（可能提高滲透測試的成本）。

　　測試方自控

　　由滲透測試方對本次測透測試過程中的三方面數據進行完整記錄：操作、響應、分析，最終形成完整有效的滲透測試報告提交給用戶。

　　用戶監控

　　用戶監控有四種形式，其一全程監控：采用類似Ethereal的嗅探軟件進行全程抓包嗅探；其二擇要監控：對掃描過程不進行錄制，僅僅在安全工程師分析數據后，準備發起滲透前才開啟軟件進行嗅探；其三主機監控：僅監控受測主機的存活狀態，避免意外情況發生；其四指定攻擊源：用戶指定由特定攻擊源地址進行攻擊，該源地址的主機由用戶進行進程、網絡連接、數據傳輸等多方監控。 

 
　　　　　　　　　　圖1：軟件開發的生命周期及滲透測試的地位
　

 
　　　　　　　　　　圖2：滲透測試技術流程圖
 
　　

　　　　　　　　　　圖3：微軟IT攻擊與滲透團隊工作流程

文章來源于領測軟件測試網 http://www.kjueaiud.com/