文章

行为规范

一、行动准则

渗透测试的本质是“以攻击之名,行防御之实”,其合法性和价值完全依赖于严格遵守行为规范。
优秀的测试人员不仅需要技术精湛,更需具备高度的法律意识、道德责任感和职业操守,始终将“安全”和“合规”作为行动的最高准则。

1、法律合规:未经授权,绝不测试

  1. 合法授权是前提

    • 必须获得目标系统所有者的书面授权(如测试合同、授权书),明确测试范围、时间和权限。
    • 禁止对任何未经授权的系统进行探测、扫描或攻击,包括公共网络中可能暴露的未授权系统(如未明确允许测试的企业资产)。
    • 法律风险:未经授权的测试可能触犯《网络安全法》《刑法》等法律,面临罚款、刑事责任(如非法侵入计算机系统罪)。
  2. 遵守地域法律

    • 测试需符合目标系统所在国家/地区的法律法规(如欧盟GDPR对数据的保护要求、美国CFAA等),避免跨国测试引发司法风险。

2、道德准则:坚守职业道德底线

  1. 不泄露敏感信息

    • 对测试中发现的用户数据、业务逻辑、系统架构等敏感信息严格保密,未经允许不得向任何第三方披露(包括测试团队外的人员)。
    • 测试结束后,需彻底删除或归还所有获取的数据(如漏洞利用脚本、抓取的数据包等)。
  2. 不滥用测试权限

    • 仅在授权范围内执行测试,禁止利用测试中发现的漏洞进行任何形式的恶意操作(如窃取数据、植入后门、破坏系统可用性等)。
    • 禁止将测试中获取的漏洞或技术细节用于个人利益(如黑市交易、敲诈勒索等)。
  3. 保持客观性与独立性

    • 测试结果需真实、客观,不隐瞒重大漏洞或伪造测试报告。
    • 若与客户存在利益冲突(如客户是竞争对手),需主动声明并回避。

3、技术规范:专业操作,减少风险

  1. 限定测试范围

    • 明确测试目标(如特定IP、域名、系统组件),禁止扩展至未授权的范围(如客户关联的第三方系统、用户个人设备)。
    • 避免对生产环境进行破坏性测试(如DDOS攻击、大规模漏洞利用),除非提前与客户确认并制定回滚方案。
  2. 记录与报告规范

    • 详细记录测试过程(如使用的工具、扫描结果、漏洞验证步骤),确保可追溯性。
    • 及时向客户提交漏洞报告,说明风险等级、影响范围和修复建议,避免漏洞信息被公开或滥用。
  3. 工具与技术的合法性

    • 仅使用合法授权的测试工具,禁止使用盗版软件或包含恶意功能的工具(如含后门的漏洞扫描器)。
    • 不传播未公开的漏洞(0day)细节,除非已通知厂商并给予修复时间(遵循负责任的漏洞披露流程,如CVE标准)。

4、职业素养:维护行业声誉

  1. 持续提升能力

    • 遵守行业标准(如OWASP测试指南、NIST安全框架),定期学习新技术和漏洞知识,避免因技术过时导致测试不全面。
  2. 尊重隐私与用户权益

    • 测试中若意外获取用户隐私数据(如聊天记录、账号密码),需立即停止访问并通知客户删除,严禁留存或分析。
    • 不利用社会工程学手段骗取用户信任(如伪装成员工、客服),除非客户明确允许并用于内部安全培训。
  3. 应急响应与责任界定

    • 若测试中导致系统故障,需立即停止操作并协助客户恢复,主动承担因操作失误引发的后果(如按合同赔偿)。
    • 明确测试期间的责任边界,如区分测试引发的问题与系统本身存在的隐患。

二、行动规范最佳实践

行动记录模板

tree NerubianNotes/

nerubian/
└── NerubianNotes
	├── EPT
	│   ├── evidence
	│   │   ├── credentials
	│   │   ├── data
	│   │   └── screenshots
	│   ├── logs
	│   ├── scans
	│   ├── scope
	│   └── tools
	└── IPT
		├── evidence
		│   ├── credentials
		│   ├── data
		│   └── screenshots
		├── logs
		├── scans
		├── scope
        └── tools

此记录包含两项评估:

  • 内部渗透测试(IPT)
  • 外部渗透测试(EPT)
    在每个文件夹下,我们有子文件夹用于保存扫描数据、相关工具、日志输出、范围信息(即要提供给扫描工具的IP/网络列表),以及可能包含在评估期间检索到的任何凭据、相关数据以及截图的证据文件夹。

有些人会为每个目标主机创建一个文件夹,并在其中保存截图。其他人则按主机或网络组织笔记,并直接将截图保存到笔记工具中。尝试不同的文件夹结构,看看哪种最适合你保持组织性和高效工作。

笔记工具

生产力和组织性高度相关,且都非常重要。一个技术精湛但组织混乱的渗透测试员在这个行业很难成功。每个网络安全专业人员都应该维护一个知识库。可以使用各种工具进行组织和记笔记。

选择笔记工具是非常个人化的。每个人的习惯与需求都是独特的甚至唯一的。因此,笔记软件要选择适合自己的。切勿盲从。

其中,Markdown语言易于上手且对记笔记非常有用,一些支持Markdown语法的好选择包括:Obsidian、Cherrytree、Notion、GitBook、Typora等等。其中像Notion和GitBook这样的工具具有更丰富的功能,Typora属于更纯粹的Mrkdown编辑器,但是单个文件过大后会有速度问题。个人综合使用来看,Obsidian是最推荐的,可以配合Remotely Save插件,搭配免费网盘或自建的webdav服务,实现免费的实时云存储,同时也并不缺少功能的丰富性,有丰富的插件库,有大量的主题,可高度自定义。

License:  CC BY 4.0