基本介绍
渗透测试(Penetration Testing)是一种通过模拟恶意攻击者的技术与手法对目标系统在可控制的范围内进行安全测试和安全评估的过程,其目的是在挖掘当前系统潜在的安全风险点后对系统进行安全升级来提升系统的安全性,并以此来规避被恶意攻击者入侵的可能性
基本分类
渗透测试的类型主要有以下三种:
黑盒测试
黑盒测试(Black-box Testing)也被称为外部测试(External Testing),采用这种方式时渗透测试团队将从一个远程网络位置来评估目标网络基础设施,并没有任何目标网络内部拓扑等相关信息,测试团队将完全模拟真实网络环境中的外部攻击者并采用流行的攻击技术与工具有组织有步骤地对目标组织进行逐步的渗透和入侵,并在此期间揭露目标网络中存在的一些已知或未知的安全漏洞,并评估这些漏洞是否可以被利用、利用难度的高低、以及被利用后带来的安全风险(例如:丧失目标系统的控制权、造成业务资产损失等),在完成渗透测试后,测试团队会对发现的目标系统安全漏洞、所识别的安全风险以及业务影响评估等信息进行总结后输出一份详细的安全测试报告
白盒测试
白盒测试(White-box Testing)也被称为内部测试(Internal Testing),进行白盒测试的团队将可以了解到关于目标系统的所有内部与底层知识,因此这可以让渗透测试者以最小的代价发现和验证系统中最严重的安全漏洞,如果实施到位,白盒测试能够比黑盒测试消除更多的目标基础设施环境中的安全漏洞