渗透测试 - 修复
渗透测试工作无论多么彻底,都无法始终确保彻底发现安全控制有效性不足的每个实例。识别应用程序某一区域中的跨站点脚本漏洞或风险可能无法明确暴露应用程序中存在的此漏洞的所有实例。本章阐述了修复的概念和效用。
什么是修复?
补救是一种提供改进以替换错误并纠正错误的Behave。通常,某个区域存在漏洞可能表明流程或开发实践中存在缺陷,而这些缺陷可能会在其他位置复制或启用类似的漏洞。因此,在修复时,测试人员必须仔细调查被测试的实体或应用程序,同时考虑到无效的安全控制。
由于这些原因,相关公司应在原始渗透测试后的合理时间内采取措施修复任何可利用的漏洞。事实上,一旦公司完成这些步骤,渗透测试人员就应该进行重新测试,以验证新实施的控制措施是否能够减轻原始风险。
初始笔测试后持续较长时间的修复工作可能需要执行新的测试活动,以确保最新环境的准确结果。应在对自原始测试完成以来发生了多少变化进行风险分析后做出此决定。
此外,在特定条件下,标记的安全问题可能说明相应环境或应用程序中的基本缺陷。因此,重新测试的范围应考虑测试中确定的补救措施引起的任何变化是否被归类为重大变化。所有变更均应重新测试;然而,是否需要对整个系统进行重新测试将取决于对变更的风险评估。