我的渗透测试之道

我做渗透测试也有一段时间了，服务了很多企事业单位，由于我所在的单位性质的关系，也接触到了很多其他公司接触不到的项目，从中也积累了很多的经验。

渗透测试怎么做，我也想跟大家分享一下。

在很多时候我们面对的总是不一样的客户，不一样的人，在客户关系的处理上我也有我自己的一些方法的。

我们在项目开始做之前，会询问客户的要求，会把一些项目中可能出现的问题，会提前告诉客户，以便客户能把一些重要数据进行备份，关键的系统能够帮我们提前准备好测试环境。我也同时跟客户讲，我们的测试方法可靠，不会对系统造成任何破坏，由于采用纯手工的方式进行测试，所以对系统的危害是可控的。

在项目实施过程中，我们一般都愿意客户在我们的身边，看着我们对系统如何进行测试的，有很多客户也非常关心这块。我们在发现系统问题的时候，也是在第一时间就愿意告诉客户，提示他在某个地方存在系统漏洞，能够造成什么样的危害等等。

现在的企业，由于一些系统都是在几年前就做好的，且几年前的系统安全性跟现在的根本没法比，所以存在的漏洞也是非常多，动动就直接拿服务器权限等等，我们虽然是服务提供者，但也经常站在客户的角度，对客户的系统充满担忧，有时候做完一个项目，心里总在想：“幸好有我在，很多漏洞被我发现了，要是被恶意利用可怎么办 !”。

由于近似完美的服务，每次做完项目，客户都对我们服务评价非常高，得到了客户认可，这也是我们做服务的价值体现。

可是有的时候，也难免会碰到一些古怪的客户，在处理问题上，我有时候也会实话实说，不隐瞒我内心的真实想法，毕竟有时候如果出了问题，当责任的是我们，我得对我的公司、领导和我小伙伴负责，我也想跟客户说，咱的系统有问题不要紧，合作也当然是建立在相互信任基础上，如果您当心系统漏洞多，怕影响业务，我们可以商量一些其他的解决办法，没必要暗示我们出一些不符合真实情况的报告，我们也是有职业规范操守的。

在渗透测试的过程中，我也发现了客户普遍存在的一些问题，比如：买了安全防护设备，防护规则却没有配置，导致网站一直处于无防护状态，很容易遭受网络攻击；还有的就是安全防护不完整，网络拓扑结构比较凌乱，服务器这一个，那一个等等情况都比较常见。

事后，我们也会告诉客户系统之外的有可能存在的一些网络问题，提醒一下客户，顺便把我们临时的解决方案告诉给客户，先把目前存在的问题解决掉，过了一段时间，我们再去客户那边了解情况的时候，现状已经比从前好多了，安全防护等也比较完整，我一直相信，做好安全服务不一定在我们，主要也在客户，我们就像一个共同体一样，你好，我好，大家好。

服务完成后，我们一般会把完整的问题统计好告诉客户，并在几天内把完整报告附带解决方案给客户，由于客户在某些方面还存在不足，所以我们也愿意帮助客户解决客户自己解决不了安全的问题，帮助客户进行安全问题大扫除，这也是我们服务客户的宗旨。

我想说一下：

在做渗透服务过程中，由于我们的职业行为比较敏感，切勿对其他不相干系统尤其是其他重要进行测试，切勿使用攻击性扫描器对客户系统进行测试，一般常规只做渗透授权书里面的系统，如果在渗透测试过程中发现比较困难，可以与客户进行沟通，看是否可以取得测试账号等进行测试。

别动不动一上来就用扫描器，现在有的漏洞已经用扫描器扫不出来了，还是动手去找一下吧。

项目完成后，切勿把客户系统资料进行外传，网络传输时，对文件进行加密，以防止中途有人窃取文件信息，重要数据切勿在个人电脑进行保存。

渗透测试方法脑图：

渗透测试标准：

PTES：http://www.pentest-standard.org/index.php/Post_Exploitation

OSSTMM：http://www.isecom.org/research/osstmm.html

OWASP：https://www.owasp.org/index.php/Main_Page

摘自SaviourTech公众号