如何知道笔试何时完成？

Question

具体来说，考虑客户端网站，我们被要求执行笔试；在什么时候，我们停下来说，我们完成了？

我们可以访问各种工具(一些是自动化的，一些是手动的)；但是如果我们说“我们尝试了所有的工具，但没有取得任何进展”，这可以被理解为我们说我们不够聪明(而且总有一些黑客可能更聪明)。

那么，我们如何保护自己免受那些声称我们没有尽职尽责地工作的客户的困扰？有没有一个标准的报告框架，我们可以在其中工作？

Answer 1

因此，对于整个行业来说，这是一个非常有趣的问题。我建议你处理这件事

• 在您的合同中有一些内容可以免除在测试过程中未注意到的漏洞的责任。这样做的原因是，根本不可能确定你已经在网站或任何其他系统中找到了每一个可利用的问题。举个例子，想想那些多年来易受谢尔休克攻击的网站，所有接触过这些网站的笔试公司是否都应该为不告诉他们的客户承担责任？
• 有一个方法，说你要做什么。这应涵盖将要完成的一般测试领域。对于网站来说，考虑以OWASP前10名为起点。这给你与客户在你将要看到的东西上的一些共同点。
• 确保你的公司用一张清单涵盖了基本知识。就像@rapli上面说的，把所有的小事都记录下来，但不要夸大它的严重性。虽然确保您的测试不仅仅是一个检查表是很重要的，但是使用一个检查表可以避免在基本测试被忽略的情况下出现错误。

你可能/将要遇到的问题是客户不切实际的期望。这个问题是一个接一个要解决的问题。如果您的客户期望他们的复杂应用程序在测试的5个人天内被完全审查，那么您应该解释一下为什么这不是一个实际的概念:)

Answer 2

在合同中指定您调查的哪些安全方面，并且只对这些方面承担责任。你不会总是发现漏洞。但是我保证你会发现很少的小事情，我建议你在报告中包括你能看到的每一个细节，在标题中缺少HSTS，弱密码等等。所以他们看到你做了一些事情。

有一些我知道的报告工具，但它们不是公开可用的，就是付费产品。

Answer 3

除其他答复外：

当您的契约声明了您的作用域和要测试哪些漏洞时，您可以写下您实际上根据契约中定义的已知漏洞在范围内测试了用例。类似于：

SQL injection:

SQL-Injections are ...

We identified 42 Input fields in the Webpages in Scope. We identified 0 
Input fields vulnerable to SQL injection (with our used method).

缺点是:如果在报告后面的一个列出的字段中可能有SQL注入；您没有承诺100%的安全性，但承诺这不是一个漏洞，但是您肯定做错了什么--这就是为什么您应该以某种方式说明您使用的是哪种测试，在SQL注入的介绍中，什么样的SQL注入是最先进的，这样您就不会因为找不到将来会发现的攻击而受到指责。

这也适用于一般网站-安全内容：

HTTPS: https is ... recommended to use TLS X.Y ...

We determined the usage of https for all websites in Scope with TLS X.Y.
Certificates expire Dates are set to Date X which is in the recommended
certificate expire time range. Certificates hold an 4096-Bit key which is
acceptable for current usage.

另外，尝试为报告创建模板，因为您不想一遍又一遍地重写关于since和HTTPS/TLS等的所有内容，所以您只需填写测试结果即可。这也将确保你做了所有的测试，没有错过任何，当你看到一些段落没有写做，没有发现任何东西，也没有任何发现。