查字典图书网
查字典图书网
渗透测试业务流程中需再三强调的部分就是与客户的业务协商。这一阶段包括项目日程、按业务确定诊断范围、各日程投入人员、报告日期(日报告、周报告、期中报告、结果报告、培训等)。 项目日程几乎按照计划进行。如果决定了开始日期,根据M/M就可得知结束日期。当然项目日程有时也会延迟,这种情况对客户和咨询诊断公司都是不利的。因此,要尽可能按期完成。不要在时间上浪费精力! 咨询诊断公司根据提案的M/M为每个日程的业务分配人员。有些客户非常了解某项业务,分配该工作的人员可能会认为自己无事可做而提出异议,此时项目经理重新考虑后做出调整即可。这也是不难协商的阶段。 根据我的经验,最重要的还是确定诊断范围。如前所述,如果这一范围没有协商好,那么与客户的会面自始至终都不会是什么令人开心的状态。 一定要协商清楚业务范围,只有这样才能在此基础上计算各范围需要投入的M/M(日程和人员)。另外,所分配的人员必须是最合适的工作人员(再次强调必须是最佳人员),这也是应尽的义务。 例如,能否通过网络应用程序诊断业务区分表判断诊断的数量(按域名或IP地址),这最为重要。假设平均1个域名需要1人投入2天左右才可以充分检测,那么,2~3个域名就需要0.25 M/M(这只是举例而已)。不过,只凭数量是很难预测正确的,必须要对相应服务的规模进行仔细观察。通过观察了解有几个菜单、几个共用的留言板。如果另外包括了完全不相关的服务,这在日后肯定会影响项目的进展。因此,项目经理在协商业务之前有必要掌握客户的服务,因为很有可能与参考RFP做的分析大不相同。 在所有诊断范围中,首先一定要访问可从外部访问的服务(如果只存在外部的渗透测试就更准确),通过观察站点结构图(Site map)了解各菜单、服务、子域名个数,以及各功能存在的漏洞。这种诊断没有特定方法,全靠诊断经验和个人技术。 协商业务时,客户难免会表现出烦躁。不管如何,该问的还得问。例如,比较市场部与客户协商的内容后询问:“域名是www.test.co.kr,进入网站后发现还job.test.co.kr、sub.test.co.kr。到底要协商到哪一部分呢?”应当预先获得信息后再次向客户查看。否则日后提交结果报告时,客户就难免提出异议。尤其是1~2周的短期项目更要费心。 获得IP信息时也一样。假如客户指定的对象111.111.111.001~111.111.111.010,你查看后只是单方面地怀疑“查看了端口信息,也扫描过,怎么还是没法访问”,却不咨询客户,而是擅自从确定对象中排除掉。最后提交结果报告时如客户提出异议,会严重影响项目进度。 就个人经验之谈,协商好对象范围是此项业务的重中之重。只有给客户留下良好的第一印象,日后的渗透测试业务才会更加愉快。