📅  最后修改于: 2020-12-06 11:37:38             🧑  作者: Mango
渗透测试的努力(无论多么彻底)无法始终确保对安全控制有效性不足的每个实例进行详尽的发现。识别应用程序一个区域中的跨站点脚本漏洞或风险可能不一定会暴露应用程序中存在的此漏洞的所有实例。本章说明了补救的概念和效用。
补救是一种改进措施,以纠正错误并纠正错误。通常,一个区域中存在漏洞可能表明流程或开发实践中的弱点,这些弱点可能已经在其他位置复制或启用了类似漏洞。因此,在进行补救时,对于测试人员而言,重要的是要仔细调查被测试的实体或应用程序,并牢记无效的安全控制措施。
由于这些原因,各自的公司应采取措施,在原始渗透测试后的合理时间内,修复任何可利用的漏洞。实际上,一旦公司完成了这些步骤,笔测试仪就应该执行重新测试,以验证能够减轻原始风险的新实施的控件。
最初的笔测试后,补救工作需要更长的时间,可能需要执行新的测试任务,以确保最新环境的准确结果。应在对自原始测试完成后发生了多少更改的风险进行分析之后做出此确定。
此外,在特定条件下,标记的安全问题可能说明相应环境或应用程序中的基本缺陷。因此,重新测试的范围应考虑由测试确定的补救措施引起的任何变化是否被归类为重大变化。所有更改都应重新测试;但是,是否需要对整个系统进行重新测试将由更改的风险评估来确定。