业务说明

WEB安全渗透测试的工作主要集中在SDL（Security Development Lifecycle）整个生命周期中的测评和运营阶段，测试过程要基于业务和系统功能进行，考虑到开发生命周期的流程控制，我们将渗透测试分拆到2个过程分别进行不同级别的安全测试方向。

在发布上线前的测试环节，渗透测试主要围绕系统功能、业务逻辑、生产环境安全策略验证。依照OWASP TOP 10的威胁为基础结合业务特性生成测试方案。其目的是因为系统功能、业务逻辑涉及到用户体验且功能上线之后通常不会有大的改动，因系统功能和业务逻辑所导致的安全问题损失较为严重，被攻击的概率也非常之大。因业务场景和功能的不同此阶段的安全测试主要是人工测试为主，为了标准化此渗透测试过程，我公司特别为该过程设立了检测范围的标准。也是标准做为WEB安全渗透测试标准化交付中最为重要的一个环节。

在系统上线之后的安全测试就偏传统一些，主要围绕常规系统漏洞、应用及版本的迭代产生的安全漏洞，此过程一般采用固定周期性的安全测试，测试方法主要依附工具或测试框架。

基于业务场景的风险检测方法

服务价值

渗透测试模型可以在以下几个方面帮助到客户：

1. 系统发布之前发现重大的功能、业务逻辑漏洞，提高羊毛党的攻击门槛
2. 渗透测试中的日报机制提高漏洞修复的效率
3. 漏洞跟踪表机制解决漏洞修复遗漏的问题
4. 漏洞修复方案反馈机制可以帮助开发人员提高安全漏洞认知
5. 定制安全培训机制通过真实业务漏洞教育开发、测试人员对漏洞的认知
6. 流程沉淀机制可帮助甲方在项目实施过程中沉淀自有的漏洞反馈、修复、应急机制

不同行业的测试模型

电商行业测试模型

常见互联网业务系统测试模型

政务/事业单位系统测试模型

客户案例