- 滲透測試教程
- 滲透測試 - 首頁
- 滲透測試 - 簡介
- 滲透測試 - 方法
- 測試與漏洞評估
- 滲透測試 - 型別
- 手動和自動化
- 滲透測試 - 工具
- 滲透測試 - 基礎設施
- 滲透測試 - 測試人員
- 滲透測試 - 報告編寫
- 滲透測試 - 倫理駭客
- 滲透測試與倫理駭客
- 滲透測試 - 限制
- 滲透測試 - 修復
- 滲透測試 - 法律問題
- 滲透測試資源
- 滲透測試 - 快速指南
- 滲透測試 - 資源
- 滲透測試 - 討論
滲透測試型別
滲透測試的型別通常取決於範圍以及組織的需求和要求。本章討論不同型別的滲透測試。它也稱為滲透測試(Pen Testing)。
滲透測試型別
以下是重要的滲透測試型別:
- 黑盒滲透測試
- 白盒滲透測試
- 灰盒滲透測試
為了更好地理解,讓我們詳細討論每一個:
黑盒滲透測試
在黑盒滲透測試中,測試人員對將要測試的系統一無所知。他感興趣的是收集關於目標網路或系統的資訊。例如,在這種測試中,測試人員只知道預期的結果,而不知道結果是如何產生的。他不檢查任何程式程式碼。
黑盒滲透測試的優點
它具有以下優點:
測試人員不必一定是專家,因為它不需要特定的語言知識。
測試人員驗證實際系統和規範之間的矛盾。
測試通常是從使用者的角度進行的,而不是設計者的角度。
黑盒滲透測試的缺點
它的缺點是:
特別是,這類測試用例很難設計。
如果設計者已經進行了測試用例,那麼它可能不值得。
它不能涵蓋所有內容。
白盒滲透測試
這是一個全面的測試,因為測試人員已被提供關於系統和/或網路的全部資訊,例如模式、原始碼、作業系統詳細資訊、IP地址等。它通常被認為是內部來源攻擊的模擬。它也稱為結構化測試、玻璃盒測試、清晰盒測試和開放盒測試。
白盒滲透測試檢查程式碼覆蓋率並進行資料流測試、路徑測試、迴圈測試等。
白盒滲透測試的優點
它具有以下優點:
它確保模組的所有獨立路徑都已被執行。
它確保所有邏輯決策都已與其真值和假值一起得到驗證。
它發現可能出現的排版錯誤並進行語法檢查。
它發現由於程式的邏輯流程和實際執行之間的差異而可能發生的設計錯誤。
灰盒滲透測試
在這種型別的測試中,測試人員通常會提供關於系統程式內部細節的部分或有限資訊。它可以被認為是外部駭客的攻擊,該駭客已非法訪問組織的網路基礎設施文件。
灰盒滲透測試的優點
它具有以下優點:
由於測試人員不需要訪問原始碼,因此它是非侵入性的和無偏見的。
由於開發人員和測試人員之間存在明顯的區別,因此個人衝突的風險最小。
您不需要提供有關程式功能和其他操作的內部資訊。
滲透測試的領域
滲透測試通常在以下三個領域進行:
網路滲透測試 - 在此測試中,需要測試系統的物理結構以識別漏洞和風險,從而確保網路安全。在網路環境中,測試人員識別公司/組織網路設計、實現或操作中的安全缺陷。測試人員測試的裝置可以是計算機、調變解調器甚至遠端訪問裝置等。
應用程式滲透測試 - 在此測試中,需要測試系統的邏輯結構。它是一種攻擊模擬,旨在透過識別漏洞和風險來揭示應用程式安全控制的效率。防火牆和其他監控系統用於保護安全系統,但有時,它需要重點測試,尤其是在允許流量透過防火牆時。
系統的響應或工作流程 - 這是需要測試的第三個領域。社會工程學收集關於人際互動的資訊,以獲取有關組織及其計算機的資訊。測試相關組織防止未經授權訪問其資訊系統的能力是有益的。同樣,此測試專為組織/公司的流程而設計。