滲透測(cè)試（筆測(cè)試）是每個(gè)組織都必須在其網(wǎng)絡(luò)安全軍械庫(kù)中擁有的關(guān)鍵且不可或缺的組成部分。滲透測(cè)試使組織能夠評(píng)估其安全措施的強(qiáng)度和有效性，其中受信任的滲透測(cè)試人員在安全條件下模擬網(wǎng)絡(luò)攻擊，并提交一份報(bào)告，其中包含狀態(tài)和對(duì)策建議，以最大限度地降低風(fēng)險(xiǎn)并增強(qiáng)安全態(tài)勢(shì)。

隨機(jī)/盲目地或?qū)W(wǎng)站/Web 應(yīng)用程序/網(wǎng)絡(luò)的所有數(shù)字資產(chǎn)和組件進(jìn)行滲透測(cè)試是不明智或經(jīng)濟(jì)上不可行的。任何滲透測(cè)試的范圍和入侵級(jí)別取決于您的預(yù)期結(jié)果、需求和背景。值得信賴的專業(yè)安全專家，將始終根據(jù)這些參數(shù)選擇正確的滲透測(cè)試工具、方法和技術(shù)組合。

在本文中，我們將研究根據(jù)測(cè)試的完成方式/方法以及目標(biāo)組件/資產(chǎn)/區(qū)域分類的滲透測(cè)試。

基于所用方法的滲透測(cè)試類型

A.黑盒測(cè)試

黑盒筆測(cè)試，也稱為外部測(cè)試或試錯(cuò)測(cè)試，是公司/資產(chǎn)在互聯(lián)網(wǎng)上可見的外部資產(chǎn)。這些類型的測(cè)試模擬真實(shí)世界的攻擊，測(cè)試人員不知道應(yīng)用程序/網(wǎng)絡(luò)/系統(tǒng)的來龍去脈，并將對(duì) IT 基礎(chǔ)設(shè)施發(fā)起暴力攻擊或盲目攻擊。

測(cè)試人員提取對(duì)目標(biāo)的見解，并根據(jù)機(jī)器人或其他自動(dòng)化流程和工具的輸入評(píng)估其功能，這些流程和工具可以挖掘目標(biāo)系統(tǒng)/網(wǎng)絡(luò)/應(yīng)用程序中的漏洞和差距。

b.白盒測(cè)試

白盒筆測(cè)試，也稱為內(nèi)部測(cè)試或結(jié)構(gòu)/透明/玻璃盒測(cè)試，是測(cè)試人員具有根級(jí)/管理員級(jí)別訪問權(quán)限并獲得有關(guān)要測(cè)試的系統(tǒng)/網(wǎng)絡(luò)/應(yīng)用程序的完整信息的地方，包括源代碼、IP 地址架構(gòu)、操作系統(tǒng)詳細(xì)信息等。目標(biāo)是針對(duì)惡意內(nèi)部人員或使用網(wǎng)絡(luò)釣魚攻擊竊取憑據(jù)的外部人員測(cè)試系統(tǒng)/網(wǎng)絡(luò)/應(yīng)用程序的內(nèi)部結(jié)構(gòu)和強(qiáng)度。

通過白盒測(cè)試，您可以了解內(nèi)部操作和模塊是否按照規(guī)范正確執(zhí)行，并檢測(cè)邏輯、設(shè)計(jì)、印刷和語法錯(cuò)誤，以及基礎(chǔ)設(shè)施或環(huán)境中的錯(cuò)誤配置。這些需要更復(fù)雜的滲透測(cè)試工具。

C.灰盒測(cè)試

灰盒滲透測(cè)試是向測(cè)試人員提供有關(guān)系統(tǒng)/網(wǎng)絡(luò)/應(yīng)用程序的部分信息（例如訪問軟件代碼、系統(tǒng)架構(gòu)圖等）以模擬攻擊的地方。這種類型的測(cè)試模擬外部實(shí)體獲得對(duì)基礎(chǔ)結(jié)構(gòu)文檔的非法訪問并跟蹤部分信息訪問如何影響目標(biāo)的場(chǎng)景。

基于目標(biāo)組件/資產(chǎn)/區(qū)域的滲透測(cè)試類型

網(wǎng)絡(luò)服務(wù)測(cè)試

最常見和最受歡迎的滲透測(cè)試類型，網(wǎng)絡(luò)服務(wù)測(cè)試，旨在挖掘網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的漏洞和差距，并結(jié)合內(nèi)部/客戶端和外部/遠(yuǎn)程測(cè)試。這不是一種深度滲透測(cè)試。在這里，針對(duì)的網(wǎng)絡(luò)領(lǐng)域包括防火墻配置、狀態(tài)分析、SQL Server、SMTP 郵件服務(wù)器、DNS、IPS 規(guī)避等。

2. 網(wǎng)絡(luò)應(yīng)用測(cè)試

Web 應(yīng)用程序測(cè)試是一種更強(qiáng)烈、更深入、更詳細(xì)和更有針對(duì)性的滲透測(cè)試，用于發(fā)現(xiàn) Web 應(yīng)用程序中的漏洞、漏洞和錯(cuò)誤配置。這是一種耗時(shí)且復(fù)雜的測(cè)試，其中規(guī)劃和策略對(duì)于提高效率至關(guān)重要。此處針對(duì)的領(lǐng)域包括 API、ActiveX、插件、Applet、Scriptlet 等。

3.客戶端測(cè)試

這種類型的測(cè)試旨在識(shí)別本地出現(xiàn)并可從客戶端利用的軟件漏洞。例如，Web 瀏覽器、內(nèi)容創(chuàng)建軟件（MS Office Suite、Photoshop、Adobe Page Maker）、媒體播放器等。

4. 社會(huì)工程學(xué)測(cè)試

在這里，測(cè)試人員試圖通過欺騙員工/用戶獲取專有或機(jī)密信息來模擬攻擊。目標(biāo)是測(cè)試組織中人際網(wǎng)絡(luò)的意識(shí)和力量。社會(huì)工程測(cè)試有兩個(gè)子類別：

• 使用網(wǎng)絡(luò)釣魚技術(shù)通過電子方式竊取機(jī)密信息的遠(yuǎn)程測(cè)試。
• 物理測(cè)試，測(cè)試人員通過模擬、垃圾箱潛水、威脅、令人信服的電話等方式使用物理手段或存在來獲取機(jī)密信息。

5. 無線網(wǎng)絡(luò)測(cè)試

這種類型的筆測(cè)試旨在識(shí)別客戶端使用的無線設(shè)備中的漏洞和弱點(diǎn)。例如，平板電腦、智能手機(jī)、筆記本電腦等。這些測(cè)試還包括無線協(xié)議、無線接入點(diǎn)和管理員憑證。

選擇正確的滲透測(cè)試工具組合，為組織的安全工作注入急需的主動(dòng)性和洞察力元素。