渗透测试有哪些类型？

网络安全乔妮娜

已于 2024-01-10 16:45:35 修改

阅读量470

点赞数

文章标签： web安全网络安全网络安全学习

于 2023-08-30 10:03:03 首次发布

本文链接：https://blog.csdn.net/Spontaneous_0/article/details/132576579

版权

根据每个测试的目标，渗透测试人员时候事先了解或不了解他们试图破坏的环境和系统，可分为：
黑盒渗透测试
白盒渗透测试
灰盒渗透测试

1、黑盒渗透测试

在黑盒渗透测试（也称为外网渗透测试）期间，渗透测试人员几乎没有获得有关企业 IT 基础设施的信息。该测试的主要目的是通过模仿实际威胁参与者的行为来模拟对内网网络的攻击。这种类型的渗透测试，试图发现和利用系统的漏洞来窃取或破坏组织的信息。
在这里插入图片描述

这种测试方法的主要好处是：渗透测试人员扮演不知情的攻击者角色，模拟真实世界的网络攻击。因此，测试将显示实施的安全措施，是否足以保护组织系统，并将结果用来评估其防御任何外网攻击的能力。

部署一系列已知有效的漏洞，是渗透测试人员在黑盒测试期间闯入系统的最简单方法之一。例如：Kerberoasting，这种测试方法也称为“试错法”，但是，此过程涉及高度的技术技能。

2、白盒渗透测试

白盒渗透测试（也称为透明盒测试、玻璃盒测试或内网渗透测试）：是指渗透测试人员对源代码和环境有充分的了解，并拥有访问权限。

白盒渗透测试的目标是对企业系统进行更深入的安全审计（可访问黑盒测试无法访问的区域），需要企业为渗透测试人员提供尽可能多的细节，使测试更加彻底。例如：代码的质量和应用程序设计。

当然白盒测试确实有其缺点。例如：需要更长的时间来决定关注哪些领域，需要更复杂且昂贵的工具，例如：代码分析器和调试器。
⚠注意：只要满足测试目标，到底是执行黑盒或白盒渗透测试并不重要。

3、灰盒渗透测试

在灰盒渗透测试期间，渗透测试人员对内网网络或 Web 应用程序具有部分知识或访问权限。

渗透测试人员可能从主机上的用户权限开始，并被告知将他们的权限提升到域管理员。或者，他们可能会被要求访问软件代码和系统架构图。
灰盒渗透测试的一个主要优点是报告提供了对网络安全性的更集中和更有效的评估。例如：执行灰盒渗透测试的渗透测试人员无需花费时间在“试错”方法上，而是能够查看网络图以确定风险最大的区域。

4、小结

外网渗透测试（也即上文提到的黑盒渗透测试）的研究，是尝试利用外网用户，在没有适当访问权限的情况下执行的漏洞。

内网渗透测试（也即上文提到的白盒渗透测试）类似于漏洞评估，但是，它通过尝试利用漏洞并确定实际暴露的信息来进一步扫描。

网络安全入门学习路线

其实入门网络安全要学的东西不算多，也就是网络基础+操作系统+中间件+数据库，四个流程下来就差不多了。

1.网络安全法和了解电脑基础

其中包括操作系统Windows基础和Linux基础，标记语言HTML基础和代码JS基础，以及网络基础、数据库基础和虚拟机使用等…

别被这些看上去很多的东西给吓到了，其实都是很简单的基础知识，同学们看完基本上都能掌握。计算机专业的同学都应该接触了解过，这部分可以直接略过。没学过的同学也不要慌，可以去B站搜索相关视频，你搜关键词网络安全工程师会出现很多相关的视频教程，我粗略的看了一下，排名第一的视频就讲的很详细。

当然你也可以看下面这个视频教程仅展示部分截图：

学到http和https抓包后能读懂它在说什么就行。