1.1.4 渗透测试原则

在渗透测试过程中渗透测试人员要遵循规范性原则、可控性原则、最小影响性原则、保密性原则。

当渗透测试人员在授权测试某个项目时，渗透测试人员需要按照国家标准文档，以及客户的要求和渗透测试规范流程进行规范的测试操作。若渗透测试人员不按照规范测试，随心所欲地对目标系统发起测试，可能会影响客户系统的正常运行，并且可能会因此造成测试遗漏，将不能全面、系统化地对目标系统展开测试。

并且当渗透测试人员对目标系统展开攻击时，一切攻击测试和工具利用都必须是可以控制的。例如，当渗透测试人员在测试某转账漏洞时，若渗透测试人员将转账金额修改为100万元进行转账测试，则可能会造成用户系统产生严重的错误。又如，当渗透测试人员在服务器上上传木马时，若木马能自动感染其他电脑最终导致客户整个企业办公用户电脑都感染了相应的病毒，那么后期维护起来将消耗大量的成本，也阻碍了客户公司的正常运行。

此外渗透测试人员必须在测试过程中使用最小的影响来完成尽可能多的漏洞测试，渗透测试人员不能在测试的同时破坏用户服务器的正常运行。例如，当渗透测试人员在进行密码爆破测试时，不应该启用过多的线程或使用过快的发包速度，如果我们过快地发包则会对目标服务器造成过大的压力负载，形成类似DDOS的攻击，这样可能会导致客户的服务器短时间内无法被访问，会给客户造成巨大的损失。

最后渗透测试人员需要严格遵守保密性原则，渗透测试人员对客户系统所进行的渗透测试中的一切内容都是需要保密的。在签订渗透测试合同时，安全服务提供方会和客户签署保密协议，渗透测试人员及其公司不得利用渗透测试过程中的任何数据做出其他有损甲方利益的事。并且在渗透测试过程中，对测试产生的相关数据都有严格的保密性措施，项目结束后应该及时清除相关的敏感数据。

在渗透测试中渗透测试人员需要做如下的风险规避：

在使用扫描器进行大量自动发包测试时，应该使用最小线程并且避开高峰业务时段进行测试。

测试开始前，可以先联系对应系统负责人让其对网站程序及数据库做一个全面备份。

测试开始时，应该联系对应系统负责人让其对应用及服务器进行监控，出现异常可以及时修复和纠正。

在扫描结束后应该告知对应系统负责人自己注册的账户、发表的测试内容、上传的测试Shell等，让其及时删除。

渗透测试人员应该在客户指定的测试范围内测试，避免越界测试。

渗透测试人员在测试目标服务器的过程中，应该实时与网站管理员保持联系。