今日挑战 · 渗透测试方法论

【单选题】

容易

在进行一次针对某金融机构的内部网络渗透测试时，测试团队在信息收集阶段发现了一个未公开的、但已存在数月的老旧系统。根据标准的渗透测试方法论，以下哪个步骤最符合对该系统进行安全评估的规范流程？

A. 立即尝试利用已公开的高危漏洞对该系统进行攻击，以获得初步立足点

B. 跳过常规扫描，直接使用暴力破解工具尝试登录该系统默认账户

C. 首先记录系统信息并报告给客户，获得明确授权后再进行后续测试

D. 假设该系统已被攻陷，直接进行内网横向移动测试

🤔

正确答案与解析在下方

想一想你的答案是什么？
准备好了再往下滑动 👇

📌 答案与解析

正确答案：C

A. 立即尝试利用已公开的高危漏洞对该系统进行攻击，以获得初步立足点

B. 跳过常规扫描，直接使用暴力破解工具尝试登录该系统默认账户

✅ C. 首先记录系统信息并报告给客户，获得明确授权后再进行后续测试

D. 假设该系统已被攻陷，直接进行内网横向移动测试

答案解析

渗透测试遵循严格的授权与范围界定原则。发现未在授权范围内的新系统时，安全测试人员应立即暂停对该系统的操作，记录并报告客户。获得客户明确授权（即扩大测试范围）后，方可进行后续扫描、漏洞探测、利用等步骤。选项A、B、D均属于未授权操作，违反了渗透测试的伦理和法律底线，可能构成非法入侵。