在检查并检查检查清单后,我如何向客户保证这些检查已完成并且漏洞已修补? (当然对于像sqli这样的东西,显示很明显) 但我的意思是在哪里验证或类似的东西?
由于
答案 0 :(得分:0)
对于已完成的测试检查,您可以提供由工具生成的不同报告或手动测试(取决于漏洞类型)以进行这些特定检查。
对于已修补的漏洞,您需要再次重新测试平台并提供由工具或手动测试生成的已更改报告,这些报告将通过指示漏洞不再存在来显示不同的输出。 为了进一步重新保证,您还可以在报告中添加漏洞利用再现步骤。因此,如果客户想要自己测试,他们可以做到(并确保它已修复)。
答案 1 :(得分:0)
您需要描述所有使用的方法,例如OSSTMM,OWASP,NIST。同样重要的是要谈论测试的外围(网络形式,api,框架,网络协议等)。
但是,您可以在使用Top10Owasp测试的每个步骤中创建一个主题:
这样,您可以确保测试符合要求。