渗透测试人员提供多种类型的渗透测试,例如白盒、灰盒和黑盒渗透测试。然而,突破行话并从不同类型的渗透测试中找到合适的术语可能具有挑战性。继续阅读以了解这些渗透测试类型。
黑盒渗透测试
黑盒渗透测试,也称为外部渗透测试或试错测试,可帮助公司发现可从外部利用其系统/应用程序/网络的漏洞。渗透测试员扮演一个没有特权的黑客的角色。他们几乎没有或根本没有关于安全策略、架构图或源代码的信息,也没有被授予访问权限的信息。
在黑盒渗透测试中,侦察的责任在于渗透测试人员,他们必须收集所有需要的敏感信息,以最深入地渗透到客户的网络中,并尽可能多地发现漏洞。他们像无特权的攻击者一样,根据他们的观察、分析和研究绘制目标系统的地图。
根据他们的发现,渗透测试人员使用暴力攻击、缓冲区溢出、密码破解等方法攻击目标系统。此外,他们在违规后进行特权升级和访问维护。
好处
- 黑盒渗透测试是最接近真实世界的攻击,因为渗透测试人员的行为和思考方式就像一个无知的普通攻击者。
- 渗透测试人员通常会利用一系列开源工具和多种技术来破坏系统,就像典型的攻击者所做的那样。
- 当由值得信赖且技术精湛的渗透测试人员执行时,这种渗透测试类型会检测到范围广泛的漏洞,包括安全配置错误、XSS、SQL 注入、输入/输出验证问题、服务器配置错误等。
- 这种方法提供了准确的风险评估,牢记黑客对面向公众的应用程序的看法,并建议在生产系统上经常这样做。
- 强烈建议结合自动扫描和定期手动渗透测试来增强自动扫描,并提供准确的应用程序安全状况和风险评估。
缺点
- 黑盒渗透测试的功效取决于渗透测试人员通过发现安全漏洞突破边界的能力。
- 如果测试人员无法定位和利用面向外部的资产和服务中的漏洞,那么测试是无效的,企业将生活在一种错误的安全感中。不仅如此,渗透测试的投入也是一种浪费。
- 覆盖的深度仅取决于提供给渗透测试人员的信息的范围,以及通过自动扫描仪可能覆盖的范围,以及渗透测试人员的能力和给他们的时间以进行更深入的研究。
白盒渗透测试
白盒渗透测试,也称为内部测试或透明盒/玻璃盒/结构测试,可帮助企业针对特权内部人员和外部人员测试系统/网络/应用程序的强度。在白盒渗透测试中,渗透测试人员拥有关于网络、系统和应用程序的完整信息和完全访问权限,包括源代码、IP 地址模式、操作系统详细信息、配置文件、网络地图、凭据等。渗透测试人员执行静态和动态分析以全面评估漏洞。
好处
- 白盒渗透测试提供了对内部和外部漏洞的全面评估,从普通攻击者可用的角度进行评估。
- 它有助于识别基础架构、源代码、设计、业务逻辑、排版、语法、安全设置等方面的漏洞、差距和错误配置。
- 这种测试类型更彻底,有助于评估代码和应用程序设计的质量。
- 由于渗透测试人员可以完全访问信息,因此参与的时间和成本相对较少。
缺点
- 鉴于他们掌握的大量信息,渗透测试人员可能需要更长的时间来决定要关注哪些领域。
- 这种测试类型需要更复杂的渗透测试工具和方法来提高有效性。
- 可靠性和信任在白盒渗透测试中起着至关重要的作用。它通常会阻止企业与测试人员分享重要的见解,从而降低测试的有效性。
灰盒渗透测试
灰盒渗透测试,也称为半透明盒测试,模拟攻击者拥有部分信息或访问系统/网络/应用程序(例如登录凭据、系统代码、架构图等)的场景。灰盒测试旨在了解潜在的威胁损害部分信息访问或特权用户可能会导致业务。
好处
- 灰盒渗透测试在黑盒测试和白盒测试的深度和效率之间取得平衡。
- 它提供了更加集中和有效的安全态势评估。
- 它比试错法更省时、更划算,节省了勘察的时间和成本。
缺点
- 当业务定义需要渗透测试的网络区域时,灰盒渗透测试最有效。
结论
这不是在不同类型的渗透测试之间进行选择,而是确保您以正确的频率正确组合所有这些类型以获得全面覆盖。黑盒渗透测试绝对是必不可少的,因为它可以模拟黑客或攻击者对您的应用程序的看法,提供最重要的风险评估。