安全服务-渗透测试规范V1.0
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全服务
渗透测试规范
1.禁止向第三方平台(如乌云、漏洞盒子、360补天等)提交任何与项目相关
的信息。
2.禁止向项目组以外的人员泄露客户的相关测试信息,包括客户名称、测试范
围、测试结果等一切涉及项目的信息。
3.禁止对系统进行拒绝服务、缓冲区溢出等影响系统可用性的测试。
4.禁止在生产系统中使用Appscan、WVS或其他扫描工具进行登录扫描。
5.禁止测试客户测试范围以外无关的系统,如测试流程中涉及到业务相关性的
其他系统须经项目经理确认。
6.测试中不能涉及非测试用户,不能对非测试用户进行测试,特别是不能破坏
非测试用户数据完整性。
7.测试仅限于确认漏洞的存在,禁止利用漏洞获取客户的生产数据(如客户要
求进行漏洞验证,原则上不超过5条)。
8.在测试SQL注入过程中,禁止使用对数据库造成破坏的语句,如DROP, DELETE,
UPDATE, CREATE, INSERT等进行SQL注入测试。
9.如测试人员认为需要使用上述方法进行测试,须经项目经理确认。
密级:内部使用