行为规范
一、行动准则
渗透测试的本质是“以攻击之名,行防御之实”,其合法性和价值完全依赖于严格遵守行为规范。
优秀的测试人员不仅需要技术精湛,更需具备高度的法律意识、道德责任感和职业操守,始终将“安全”和“合规”作为行动的最高准则。
1、法律合规:未经授权,绝不测试
-
合法授权是前提
- 必须获得目标系统所有者的书面授权(如测试合同、授权书),明确测试范围、时间和权限。
- 禁止对任何未经授权的系统进行探测、扫描或攻击,包括公共网络中可能暴露的未授权系统(如未明确允许测试的企业资产)。
- 法律风险:未经授权的测试可能触犯《网络安全法》《刑法》等法律,面临罚款、刑事责任(如非法侵入计算机系统罪)。
-
遵守地域法律
- 测试需符合目标系统所在国家/地区的法律法规(如欧盟GDPR对数据的保护要求、美国CFAA等),避免跨国测试引发司法风险。
2、道德准则:坚守职业道德底线
-
不泄露敏感信息
- 对测试中发现的用户数据、业务逻辑、系统架构等敏感信息严格保密,未经允许不得向任何第三方披露(包括测试团队外的人员)。
- 测试结束后,需彻底删除或归还所有获取的数据(如漏洞利用脚本、抓取的数据包等)。
-
不滥用测试权限
- 仅在授权范围内执行测试,禁止利用测试中发现的漏洞进行任何形式的恶意操作(如窃取数据、植入后门、破坏系统可用性等)。
- 禁止将测试中获取的漏洞或技术细节用于个人利益(如黑市交易、敲诈勒索等)。
-
保持客观性与独立性
- 测试结果需真实、客观,不隐瞒重大漏洞或伪造测试报告。
- 若与客户存在利益冲突(如客户是竞争对手),需主动声明并回避。
3、技术规范:专业操作,减少风险
-
限定测试范围
- 明确测试目标(如特定IP、域名、系统组件),禁止扩展至未授权的范围(如客户关联的第三方系统、用户个人设备)。
- 避免对生产环境进行破坏性测试(如DDOS攻击、大规模漏洞利用),除非提前与客户确认并制定回滚方案。
-
记录与报告规范
- 详细记录测试过程(如使用的工具、扫描结果、漏洞验证步骤),确保可追溯性。
- 及时向客户提交漏洞报告,说明风险等级、影响范围和修复建议,避免漏洞信息被公开或滥用。
-
工具与技术的合法性
- 仅使用合法授权的测试工具,禁止使用盗版软件或包含恶意功能的工具(如含后门的漏洞扫描器)。
- 不传播未公开的漏洞(0day)细节,除非已通知厂商并给予修复时间(遵循负责任的漏洞披露流程,如CVE标准)。
4、职业素养:维护行业声誉
-
持续提升能力
- 遵守行业标准(如OWASP测试指南、NIST安全框架),定期学习新技术和漏洞知识,避免因技术过时导致测试不全面。
-
尊重隐私与用户权益
- 测试中若意外获取用户隐私数据(如聊天记录、账号密码),需立即停止访问并通知客户删除,严禁留存或分析。
- 不利用社会工程学手段骗取用户信任(如伪装成员工、客服),除非客户明确允许并用于内部安全培训。
-
应急响应与责任界定
- 若测试中导致系统故障,需立即停止操作并协助客户恢复,主动承担因操作失误引发的后果(如按合同赔偿)。
- 明确测试期间的责任边界,如区分测试引发的问题与系统本身存在的隐患。
二、行动规范最佳实践
行动记录模板
tree NerubianNotes/
nerubian/
└── NerubianNotes
├── EPT
│ ├── evidence
│ │ ├── credentials
│ │ ├── data
│ │ └── screenshots
│ ├── logs
│ ├── scans
│ ├── scope
│ └── tools
└── IPT
├── evidence
│ ├── credentials
│ ├── data
│ └── screenshots
├── logs
├── scans
├── scope
└── tools
此记录包含两项评估:
- 内部渗透测试(IPT)
- 外部渗透测试(EPT)
在每个文件夹下,我们有子文件夹用于保存扫描数据、相关工具、日志输出、范围信息(即要提供给扫描工具的IP/网络列表),以及可能包含在评估期间检索到的任何凭据、相关数据以及截图的证据文件夹。
有些人会为每个目标主机创建一个文件夹,并在其中保存截图。其他人则按主机或网络组织笔记,并直接将截图保存到笔记工具中。尝试不同的文件夹结构,看看哪种最适合你保持组织性和高效工作。
笔记工具
生产力和组织性高度相关,且都非常重要。一个技术精湛但组织混乱的渗透测试员在这个行业很难成功。每个网络安全专业人员都应该维护一个知识库。可以使用各种工具进行组织和记笔记。
选择笔记工具是非常个人化的。每个人的习惯与需求都是独特的甚至唯一的。因此,笔记软件要选择适合自己的。切勿盲从。
其中,Markdown语言易于上手且对记笔记非常有用,一些支持Markdown语法的好选择包括:Obsidian、Cherrytree、Notion、GitBook、Typora等等。其中像Notion和GitBook这样的工具具有更丰富的功能,Typora属于更纯粹的Mrkdown编辑器,但是单个文件过大后会有速度问题。个人综合使用来看,Obsidian是最推荐的,可以配合Remotely Save插件,搭配免费网盘或自建的webdav服务,实现免费的实时云存储,同时也并不缺少功能的丰富性,有丰富的插件库,有大量的主题,可高度自定义。
License:
CC BY 4.0