有没有做渗透测试服务的帽子们?
Joker (这个人还没有女朋友) | 2012-11-02 21:00
我看到很多安全公司有这项服务,可是人家找你做渗透测试,测试目标可能有问题可能没问题,问题可能被发现,可能不被发现,这样的业务怎么去保证服务质量?客户怎么知道你用不用了心,做得有没有质量?
1#
kamatyo | 2012-11-02 21:40
我也有这个疑问,包括乙方公司做绩效时,怎么知道自己的渗透师们有没有尽力在做呢?用发现的漏洞作为绩效依据就太片面了。
2#
店小弎 | 2012-11-02 21:49
NO 乙方的那个叫风险评估 不叫渗透测试
3#
Joker (这个人还没有女朋友) | 2012-11-02 22:00
@店小弎 有专门的渗透测试服务啊。不是有个职业叫Penetration Tester么。
4#
林浪子 | 2012-11-02 22:40
看你最后的报告
5#
冷冷的夜 (从前有个人,他不喜欢我;后来,他死了) | 2012-11-02 22:50
一般都是风险评估,等级保护啥的,渗透测试只是其中的一个技术部分的手段,由于各种XXX原因,大部分时间都在写报告,各种粘贴复制,各种写废话,各种形式主义。
也有专门的Penetration Tester,都是各种和谐部门,你懂得
6#
Joker (这个人还没有女朋友) | 2012-11-02 23:10
@林浪子 如果我拿个扫描器扫完出报告,客户也看不出好坏啊。
7#
Joker (这个人还没有女朋友) | 2012-11-02 23:21
@冷冷的夜
一般都是风险评估,等级保护啥的,渗透测试只是其中的一个技术部分的手段,由于各种XXX原因,大部分时间都在写报告,各种粘贴复制,各种写废话,各种形式主义。
也有专门的Penetration Tester,都是各种和谐部门,你懂得
也有些地方专门找安全公司做渗透测试服务的,比如人家就一台WEB服务器的,风险评估一般针对网络结构比较庞大的。和谐部门那是职业黑阔,就不说了。
其实我正客串这事呢,写投标文件,可要了我的命了,所以前来打听打听~
8#
店小弎 | 2012-11-02 23:30
@Joker 客户看不出 但是人家受到入侵了呢? 大型企业都会让几个公司 这个公司找那个公司的毛病 那个公司找这个公司的毛病。
9#
店小弎 | 2012-11-02 23:32
@冷冷的夜 我好像在那群看到过你 貌似小威那群把,
10#
zeracker | 2012-11-02 23:49
@店小弎 也得看项目,纯安全加固项目中的渗透测试,还是咨询服务类中附带的技术评估(现状调研中的一小部分)。 2楼@店小弎 说得方向明显不对,针对多数服务项目,风险评估:1.ISO2700X差距分析 科技风险差距评估 信息资产风险评估 IT流程风险评估 IT风险组合管理 等。 不说了,说多了会被喷。
11#
林浪子 | 2012-11-03 01:12
现在的客户都精的像猴似的,啥都懂,而且通常要求做渗透测试的甲方内部也会有高人,糊弄肯定是不行的。多说一点吧,渗透测试两种情况,一种是渗透进去了,这没啥好说的。另一种是没渗透进去,这就要求你的报告要有质量,八股一类的废话当然要有,但是关键在于你要描述清楚你的渗透思路,你做了些什么,怎么做的,做的结果如何,测试的点是不是业务关键点等等,一定要详细的描述清楚,这样才会让客户感觉到你确确实实做了事情,也会增强你的报告的说服力。
12#
livers (如梦似幻) | 2012-11-03 10:52
@冷冷的夜 靠谱
13#
Viigoss | 2012-11-03 12:24
平时做的渗透,每个站都会有漏洞,没有发现任何一个站没有漏洞的。高中低风险而已。渗透是卖在风险评估中的一部分或者网站运维中的一部分。单卖渗透的服务也有,就是少,人家相信我们公司才会联系销售要做渗透。不是你想的那样,人都不傻。。
14#
Joker (这个人还没有女朋友) | 2012-11-03 15:49
@Viigoss 不是傻不傻,人客户确实不懂这个东西,相不相信你公司是一回事,你做得怎么样是一回事。联系销售做渗透那个好说,一个报告扔过去就完了。
比如某个客户要做渗透测试的时候,因为客户他不懂这个啊,所以他会联系几家公司,大家投标,在招标文件里要求你们告诉他怎么验收,验收指标是什么,怎么确定服务质量,问题是这些东西都不好确定啊,也没个行业标准套上去了事咯~
15#
小威 (精神病人思维广) | 2012-11-24 10:33
@店小弎 我这是中枪了么
16#
qiaoy | 2012-11-24 11:20
现在的客户都精的像猴似的,啥都懂,而且通常要求做渗透测试的甲方内部也会有高人,糊弄肯定是不行的。多说一点吧,渗透测试两种情况,一种是渗透进去了,这没啥好说的。另一种是没渗透进去,这就要求你的报告要有质量,八股一类的废话当然要有,但是关键在于你要描述清楚你的渗透思路,你做了些什么,怎么做的,做的结果如何,测试的点是不是业务关键点等等,一定要详细的描述清楚,这样才会让客户感觉到你确确实实做了事情,也会增强你的报告的说服力。
@林浪子 说的靠谱
17#
applychen | 2012-11-24 12:59
不管渗透没渗透进去,都要详细描述过程,记录文档。
18#
坏虾 (黑阔都被爆菊花~) | 2012-11-30 09:09
渗透测试是一个很神圣的职业,必须去用良心面对.而且渗透测试项目一般都是由几个工程师一起实施的,每个工程师需要分包其中的一部分,所以互相之间的压力比较大.
渗透测试是有强度等级的.这个看客户的需求.造成的危害也是有等级的.需要跟客户沟通.
至于写报告,纯是为客户负责,客户不希望你动了他们不想让你动的东西,或者破坏点什么和留后门.报告要写的详细,危害性主要就看这份报告,报告写不好,之前的工作就白做了.
项目结束后客户需要整改,整改后有的企业还是需要再次渗透测试的.检查是否还有遗漏.
反正渗透测试是要用良心去做的.没有人会强迫你去把所有的漏洞都试一遍,看工程师的个人感觉,觉得会存在什么漏洞就试什么漏洞.
19#
conqu3r (http://www.paxmac.org/) | 2012-12-04 11:30
唉,我是打酱油的。完全就是人家叫我干嘛就干嘛的,然后写个风险评估报告,其它什么事都不管。要跟你们学习下了。。。