@大麻哈
3年前 提问
1个回答

渗透测试常用方法有什么

Andrew
3年前

渗透测试,是为了证明网络防御按照预期计划正常运行而提供的一种机制。不妨假设,你的公司定期更新安全策略和程序,时时给系统打补丁,并采用了漏洞扫描器等工具,以确保所有补丁都已打上。如果你早已做到了这些,为什么还要请外方进行审查或渗透测试呢?因为,渗透测试能够独立地检查你的网络策略,换句话说,就是给你的系统安了一双眼睛。而且,进行这类测试的,都是寻找网络系统安全漏洞的专业人士。

根据渗透测试方法和视角分三种类型

  • 黑盒测试
  • 白盒测试
  • 灰盒测试

黑盒测试

渗透者完全处于对系统一 无所知的状态。除了被测试目标的已知公开信息外,不提供任何其他信息。一般只从组织的外部进行渗透测试。

白盒测试

测试者可以通过正常渠道向被测单位取得各种资料,包括网络拓扑、员工资料甚至网站程序的代码片段,也能与单位其他员工进行面对面的沟通。通常包括从组织外部和从组织内部两种地点进行渗透测试。这类的是的目的是模拟企业内部雇员的越权操作。

灰盒测试

介于黑盒测试和白盒测试之间

较为隐秘的进行测试。通常,接受渗透测试的单位网络管理部门]会收到通知:在某些时间段进行测试。因此能够检测网络中出现的变化。在隐秘测试中,被测单位也仅有极少数人知晓测试的存在,因此能够有效地检验单位的信息安全事件监控、响应、恢复做得是否到位。