官網熱線:400-100-0298
滲透測試(Pentest),并沒有一個標準的定義,國外一些安全組織達成共識的通用說法是:滲透測試是通過模擬惡意黑客的攻擊方法,來評估計算機網絡系統(tǒng)安全的一種評估方法。這個過程包括對系統(tǒng)的任何弱點、技術缺陷或漏洞的主動分析,這個分析是從一個攻擊者可能存在的位置來進行的,并且從這個位置有條件主動利用安全漏洞。滲透測試是指滲透人員在不同的位置(比如從內網、從外網等位置)利用各種手段對某個特定網絡進行測試,以期發(fā)現和挖掘系統(tǒng)中存在的漏洞,然后輸出滲透測試報告,并提交給網絡所有者。網絡所有者根據滲透人員提供的滲透測試報告,可以清晰知曉系統(tǒng)中存在的安全隱患和問題。
滲透測試的目的 侵入系統(tǒng)并獲取機密信息,并將入侵的過程和細節(jié)形成報告提供給用戶,由此確定用戶系統(tǒng)所存在的安全威脅,并能及時提醒安全管理員完善安全策略,降低安全風險。 進行專業(yè)的滲透測試后,即使是系統(tǒng)未被攻破,也可以證明先前實行的防御是有效的,專業(yè)的滲透測試可以有效評估系統(tǒng)的安全狀況,并提出合理的改進方案。
滲透測試的方法可分為: 黑盒測試: 將測試對象看作一個黑盒子,安全不考慮測試對象的內部結構; 白盒測試: 把測試對象看作一個打開的盒子,測試人員一句測試對象內部邏輯結構相關的信息,設計或選擇測試用例; 灰盒測試: 介于白盒與黑盒之間,是基于對測試對象內部細節(jié)有限認知的軟件測試方法。根據測試的目標分類可分為: 主機操作系統(tǒng)的測試;數據庫系統(tǒng)的測試;應用系統(tǒng)的測試;網絡設備的測試。
