渗透测试(笔测试)是每个组织都必须在其网络安全军械库中拥有的关键且不可或缺的组成部分。渗透测试使组织能够评估其安全措施的强度和有效性,其中受信任的渗透测试人员在安全条件下模拟网络攻击,并提交一份报告,其中包含状态和对策建议,以最大限度地降低风险并增强安全态势。
随机/盲目地或对网站/Web 应用程序/网络的所有数字资产和组件进行渗透测试是不明智或经济上不可行的。任何渗透测试的范围和入侵级别取决于您的预期结果、需求和背景。值得信赖的专业安全专家,将始终根据这些参数选择正确的渗透测试工具、方法和技术组合。
在本文中,我们将研究根据测试的完成方式/方法以及目标组件/资产/区域分类的渗透测试。
基于所用方法的渗透测试类型
A.黑盒测试
黑盒笔测试,也称为外部测试或试错测试,是公司/资产在互联网上可见的外部资产。这些类型的测试模拟真实世界的攻击,测试人员不知道应用程序/网络/系统的来龙去脉,并将对 IT 基础设施发起暴力攻击或盲目攻击。
测试人员提取对目标的见解,并根据机器人或其他自动化流程和工具的输入评估其功能,这些流程和工具可以挖掘目标系统/网络/应用程序中的漏洞和差距。
b.白盒测试
白盒笔测试,也称为内部测试或结构/透明/玻璃盒测试,是测试人员具有根级/管理员级别访问权限并获得有关要测试的系统/网络/应用程序的完整信息的地方,包括源代码、IP 地址架构、操作系统详细信息等。目标是针对恶意内部人员或使用网络钓鱼攻击窃取凭据的外部人员测试系统/网络/应用程序的内部结构和强度。
通过白盒测试,您可以了解内部操作和模块是否按照规范正确执行,并检测逻辑、设计、印刷和语法错误,以及基础设施或环境中的错误配置。这些需要更复杂的渗透测试工具。
C.灰盒测试
灰盒渗透测试是向测试人员提供有关系统/网络/应用程序的部分信息(例如访问软件代码、系统架构图等)以模拟攻击的地方。这种类型的测试模拟外部实体获得对基础结构文档的非法访问并跟踪部分信息访问如何影响目标的场景。
基于目标组件/资产/区域的渗透测试类型
网络服务测试
最常见和最受欢迎的渗透测试类型,网络服务测试,旨在挖掘网络基础设施中的漏洞和差距,并结合内部/客户端和外部/远程测试。这不是一种深度渗透测试。在这里,针对的网络领域包括防火墙配置、状态分析、SQL Server、SMTP 邮件服务器、DNS、IPS 规避等。
2. 网络应用测试
Web 应用程序测试是一种更强烈、更深入、更详细和更有针对性的渗透测试,用于发现 Web 应用程序中的漏洞、漏洞和错误配置。这是一种耗时且复杂的测试,其中规划和策略对于提高效率至关重要。此处针对的领域包括 API、ActiveX、插件、Applet、Scriptlet 等。
3.客户端测试
这种类型的测试旨在识别本地出现并可从客户端利用的软件漏洞。例如,Web 浏览器、内容创建软件(MS Office Suite、Photoshop、Adobe Page Maker)、媒体播放器等。
4. 社会工程学测试
在这里,测试人员试图通过欺骗员工/用户获取专有或机密信息来模拟攻击。目标是测试组织中人际网络的意识和力量。社会工程测试有两个子类别:
- 使用网络钓鱼技术通过电子方式窃取机密信息的远程测试。
- 物理测试,测试人员通过模拟、垃圾箱潜水、威胁、令人信服的电话等方式使用物理手段或存在来获取机密信息。
5. 无线网络测试
这种类型的笔测试旨在识别客户端使用的无线设备中的漏洞和弱点。例如,平板电脑、智能手机、笔记本电脑等。这些测试还包括无线协议、无线接入点和管理员凭证。
选择正确的渗透测试工具组合,为组织的安全工作注入急需的主动性和洞察力元素。
