- 渗透测试教程
- 渗透测试 - 首页
- 渗透测试 - 简介
- 渗透测试 - 方法
- 测试与漏洞评估
- 渗透测试 - 类型
- 手动和自动化
- 渗透测试 - 工具
- 渗透测试 - 基础设施
- 渗透测试 - 测试人员
- 渗透测试 - 报告编写
- 渗透测试 - 伦理黑客
- 渗透测试与伦理黑客
- 渗透测试 - 限制
- 渗透测试 - 修复
- 渗透测试 - 法律问题
- 渗透测试资源
- 渗透测试 - 快速指南
- 渗透测试 - 资源
- 渗透测试 - 讨论
渗透测试类型
渗透测试的类型通常取决于范围以及组织的需求和要求。本章讨论不同类型的渗透测试。它也称为渗透测试(Pen Testing)。
渗透测试类型
以下是重要的渗透测试类型:
- 黑盒渗透测试
- 白盒渗透测试
- 灰盒渗透测试
为了更好地理解,让我们详细讨论每一个:
黑盒渗透测试
在黑盒渗透测试中,测试人员对将要测试的系统一无所知。他感兴趣的是收集关于目标网络或系统的信息。例如,在这种测试中,测试人员只知道预期的结果,而不知道结果是如何产生的。他不检查任何程序代码。
黑盒渗透测试的优点
它具有以下优点:
测试人员不必一定是专家,因为它不需要特定的语言知识。
测试人员验证实际系统和规范之间的矛盾。
测试通常是从用户的角度进行的,而不是设计者的角度。
黑盒渗透测试的缺点
它的缺点是:
特别是,这类测试用例很难设计。
如果设计者已经进行了测试用例,那么它可能不值得。
它不能涵盖所有内容。
白盒渗透测试
这是一个全面的测试,因为测试人员已被提供关于系统和/或网络的全部信息,例如模式、源代码、操作系统详细信息、IP地址等。它通常被认为是内部来源攻击的模拟。它也称为结构化测试、玻璃盒测试、清晰盒测试和开放盒测试。
白盒渗透测试检查代码覆盖率并进行数据流测试、路径测试、循环测试等。
白盒渗透测试的优点
它具有以下优点:
它确保模块的所有独立路径都已被执行。
它确保所有逻辑决策都已与其真值和假值一起得到验证。
它发现可能出现的排版错误并进行语法检查。
它发现由于程序的逻辑流程和实际执行之间的差异而可能发生的設計错误。
灰盒渗透测试
在这种类型的测试中,测试人员通常会提供关于系统程序内部细节的部分或有限信息。它可以被认为是外部黑客的攻击,该黑客已非法访问组织的网络基础设施文档。
灰盒渗透测试的优点
它具有以下优点:
由于测试人员不需要访问源代码,因此它是非侵入性的和无偏见的。
由于开发人员和测试人员之间存在明显的区别,因此个人冲突的风险最小。
您不需要提供有关程序功能和其他操作的内部信息。
渗透测试的领域
渗透测试通常在以下三个领域进行:
网络渗透测试 - 在此测试中,需要测试系统的物理结构以识别漏洞和风险,从而确保网络安全。在网络环境中,测试人员识别公司/组织网络设计、实现或操作中的安全缺陷。测试人员测试的设备可以是计算机、调制解调器甚至远程访问设备等。
应用程序渗透测试 - 在此测试中,需要测试系统的逻辑结构。它是一种攻击模拟,旨在通过识别漏洞和风险来揭示应用程序安全控制的效率。防火墙和其他监控系统用于保护安全系统,但有时,它需要重点测试,尤其是在允许流量通过防火墙时。
系统的响应或工作流程 - 这是需要测试的第三个领域。社会工程学收集关于人际互动的信息,以获取有关组织及其计算机的信息。测试相关组织防止未经授权访问其信息系统的能力是有益的。同样,此测试专为组织/公司的流程而设计。