人非聖賢孰能無過,但客戶可能不會理解這一點,而IT安全人員甚至不會理解那些微不足道的錯誤。所以在完成第一份報告之後——該報告基本上是一份草稿,因為它未經過質量保證流程——應自行審查該報告,或在理想的情況下,由工作團隊中其他的成員進行審查。
技術質量保證可視為某種很短的滲透測試。在常規滲透測試中,可能發生各種問題,例如,滲透測試者忘記檢查、誤解,或是未能正確記錄某些漏洞。技術質量保證就是針對這些可能問題,在技術上保證報告和專案的質量。
技術質量保證應確保滲透測試者已檢查了每一個明顯的攻擊可能性。例如,測試人員針對某個登入頁面。檢查了xss攻擊、暴力破解,但忘記對SQL隱碼攻擊、使用者列舉和其Web資訊洩露漏洞,但未報告使用了未修補的Web伺服器。在技術質量保證階段中,應確保在給定的評估時間允許的情況下,執行了每一種可能的滲透測試。
技術質量審查應確保滲透測試者沒有誤解任何漏洞,沒有提出錯誤的觀點。例如,測試人員收到SQL錯誤時,卻報告了一個跨站指令碼漏洞,可能是因為測試者誤解了SQL隱碼攻擊的可能性。
技術質量審查的另一個目標是確保報告的質量。你可能擁有各種型別的客戶;其中一些可能擁有深厚的技術背景,而另一些可能是業界新手。因此應當顧及每一類受眾,儘可能詳盡地撰寫一份解釋性報告。報告通常應包括可能的攻擊的定義、原因、證據、風險評估、解決方案和參考資訊。所有這些要點均應使用簡潔的語言進行詳細的解釋。
本作品採用《CC 協議》,轉載必須註明作者和本文連結