渗透测试工作 : 无论多么彻底,他们可能是 : 无法始终确保对安全控制有效性不足的每个实例进行详尽的发现.识别应用程序的某个区域中的跨站点脚本漏洞或风险可能无法明确暴露应用程序中存在的此漏洞的所有实例.本章说明了补救的概念和效用.
补救是一种改进以取代错误和设定的行为对的.通常,一个领域存在漏洞可能表明过程或开发实践中的弱点可能会在其他位置复制或启用类似的漏洞.因此,在进行补救时,测试人员必须仔细调查测试的实体或应用程序,并考虑无效的安全控制.
由于这些原因,相应的公司应采取措施进行修复在最初的渗透测试后的合理时间内任何可利用的漏洞.事实上,一旦公司完成这些步骤,笔测试人员应该执行重新测试以验证能够降低原始风险的新实施的控制.
补救工作扩展在初始笔测试之后的较长时间内可能需要执行新的测试参与以确保最新环境的准确结果.在对原始测试完成后发生了多少变化的风险分析之后,应该做出此决定.
此外,在特定条件下,标记的安全问题可能会说明各自的基本缺陷.环境或应用.因此,重新测试的范围应考虑由测试中确定的修复引起的任何变化是否被归类为重要.所有的变化都应该重新测试;但是,是否需要进行整个系统的重新测试将由变更的风险评估决定.
