一、渗透测试是什么?
渗透测试,也被称为漏洞评估或安全测试,是一种通过模拟恶意黑客的攻击方法,可以模拟黑客攻击,找出未公开的漏洞和弱点,评估计算机网络系统安全,进一步帮助组织识别和解决安全风险。渗透测试可以测试网络、应用程序、操作系统和其他计算机系统的安全性,以评估其能否抵抗未经授权的访问和攻击。它是为了证明网络防御按照预期计划正常运行的一种机制。
二、渗透测试的类型
1.根据位置的不同,渗透测试可以分为内网渗透和外网渗透。
内网渗透模拟客户内部违规操作者的行为,在内网对目标进行渗透测试;
外网渗透则模拟对内部状态一无所知的攻击者的行为(包括对网络设备的远程攻击,口令管理安全测试,防火墙规则试探和规避,web及其他开放应用服务的安全测试等),从外网对目标进行渗透测试。
2.根据目标的不同,渗透测试可以分为主机操作系统测试、数据库系统渗透测试、应用系统测试和网络设备渗透测试。
主机操作系统测试是对Windows、Solaris、AIX、Linux、SCO、SGI等操作系统本身进行渗透测试;
数据库系统渗透测试则对MS-SQL、Oracle、MySQL、informix、Sybase、DB2、access等数据库应用系统进行渗透测试;
应用系统测试则对渗透目标提供的各种应用,如ASP、CGI、JSP、PHP等组成的WWW应用进行渗透测试;
网络设备渗透测试则对各种防火墙、入侵检测系统、路由器、交换机等网络设备进行渗透测试。
3. 根据方法的不同,渗透测试可以分为黑箱测试、白盒测试和隐秘测试。
黑箱测试完全不考虑系统的内部结构和细节,只根据输入和输出来评价系统的安全性;
白盒测试则需要对系统的内部结构和细节有深入的了解,才能进行有效的攻击;
隐秘测试则是介于黑箱测试和白盒测试之间的一种测试方法,既考虑系统的内部结构和细节,又不需要完全了解系统的内部结构。
三、渗透测试的费用
收费方式一般有两种:
1.第三方软件测试报告收费是依据具体内容进行评估,如只有功能性测试,则需要提供具体功能清单,根据功能数量进行评估,若还有其他技术指标,如性能效率、信息安全性等需提供完整清单评估后报价。价格区间一般是几千到几万不等。
2.根据建设费用的2-5%进行收费。
标签:渗透测试、测试类型
2032
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
