如何评价“伦理黑客和渗透测试”任务？

Question

让我说我雇了一个“道德黑客和渗透测试”的人。他将试图破坏我的系统/网站的安全。

让我们说，那么被雇佣的人在入侵系统中是不成功的。

显然，我不是安全专家，所以我如何判断：

1. 我的系统很安全！“安全专家”不能入侵它！
2. “安全专家”不足以入侵它..。

Answer 1

当您聘请安全顾问/渗透测试人员为安全性最佳实践评估执行安全态势评估时，您应该在渗透测试结束时收到一份报告。这是这项工作的很大一部分。此外，还有自动扫描器，您可以使用针对您的网络或web应用程序，这将给您一个更高层次的总体态势的网络。

当您从测试人员那里收到报告时，它通常会包含一个执行摘要，这意味着提供一个关于您的安全态势的总体情况报告，而不会太深入地研究技术细节。

通常情况下，对于许多漏洞，测试人员将能够确认该漏洞的存在，尽管它可能不是允许他们获得远程代码执行的漏洞。RCE (或“进入”)只是大量漏洞攻击的一部分。