常用法律笔测试文件

一般来说,是这样的过程:

销售

客户请求渗透测试服务。首先,客户通常会要求您签署保密协议,这样您就不会在此过程中分享您了解到的有关其平台的信息。

双方坐下来召开“销售会议”,其中整理了两份文件:

  • 主服务协议
  • 工作说明书

相互保密 (NDA)

双方同意不会将整个过程中了解到的任何信息透露给第三方。

主服务协议 (MSA)

合同文件,规定合作目标并概述双方的责任。涵盖多个合同的一揽子协议。

Rapid7 协议示例

Rapid7 有其主服务协议 可供查看。

工作说明书 (SOW)

具体到单个合同。涵盖活动、可交付成果、时间表和付款报价。基本上“这就是我们要做的测试类型。这是我们要完成它的时间。我们将向您提供一份报告,这就是整个活动将花费多少钱”。

附加销售文件:

报告样本

有些客户喜欢看样本报告

推荐信

有些客户喜欢在接受您之前查看其他企业/客户的推荐。

参与规则(测试前)

一旦 SOW、NDA、MSA 等全部签署并达成一致,您和客户将召开“合作规则会议”。在此之前(在销售阶段),您和客户可能已就一般范围和条款达成一致。这次会议将涵盖您的测试的细节

在签署本文件之前,您无法开始评估

范围

本文档将列出您可以且无法攻击的特定IP 地址(大部分)。最常见的是,客户不希望您执行系统中断/破坏操作,例如拒绝服务 或任何会破坏或中断其实时/生产设置和服务的操作。

有些客户不允许您进行社会工程,主要是因为他们更喜欢将其作为单独的评估

调查结果报告(测试后)

一般来说,调查结果报告 详细记录了您在进行渗透测试时的所有调查结果。

[!资源]

[!我以前的笔记(在文本中链接)]

  • 你可以在这里找到它们