渗透测试的类型
渗透测试的类型通常取决于范围以及组织的需求和要求。本章讨论不同类型的渗透测试。它也称为笔测试。
笔测试的类型
以下是笔测试的重要类型 -
- 黑盒渗透测试
- 白盒渗透测试
- 灰盒渗透测试
为了更好地理解,让我们详细讨论它们 -
黑盒渗透测试
在黑盒渗透测试中,测试人员不知道他要测试的系统。他有兴趣收集有关目标网络或系统的信息。例如,在这个测试中,测试人员只知道预期的结果应该是什么,而不知道结果是如何到达的。他不检查任何编程代码。
黑盒渗透测试的优点
它具有以下优点 -
测试人员不一定是专家,因为它不需要特定的语言知识
测试人员验证实际系统与规格的矛盾
测试通常是从用户的角度进行的,而不是设计者的角度
黑盒渗透测试的缺点
它的缺点是 -
特别是,这些类型的测试用例很难设计。
如果设计者已经进行了测试用例,则可能不值得。
它并不执行一切。
白盒渗透测试
这是一项全面的测试,因为测试人员已获得有关系统和/或网络的全部信息,例如架构、源代码、操作系统详细信息、IP 地址等。它通常被视为模拟攻击内部来源。它也称为结构、玻璃箱、透明箱和开箱测试。
白盒渗透测试检查代码覆盖率并进行数据流测试、路径测试、循环测试等。
白盒渗透测试的优点
它具有以下优点 -
它确保模块的所有独立路径都已被使用。
它确保所有逻辑决策及其真值和假值都经过验证。
它发现印刷错误并进行语法检查。
它发现由于程序逻辑流程与实际执行之间的差异而可能发生的设计错误。
灰盒渗透测试
在这种类型的测试中,测试人员通常提供有关系统程序的内部细节的部分或有限的信息。它可以被视为非法访问组织网络基础设施文档的外部黑客发起的攻击。
灰盒渗透测试的优点
它具有以下优点 -
由于测试人员不需要访问源代码,因此是非侵入性且公正的
由于开发人员和测试人员之间存在明显差异,因此发生个人冲突的风险最小
您不需要提供程序功能和其他操作的内部信息
渗透测试领域
渗透测试通常在以下三个领域进行 -
网络渗透测试- 在此测试中,需要测试系统的物理结构,以识别确保网络安全的漏洞和风险。在网络环境中,测试人员识别相应公司/组织网络的设计、实施或操作中的安全缺陷。测试仪测试的设备可以是计算机、调制解调器、甚至远程访问设备等
应用程序渗透测试- 在此测试中,需要测试系统的逻辑结构。它是一种攻击模拟,旨在通过识别漏洞和风险来暴露应用程序安全控制的效率。防火墙和其他监控系统用于保护安全系统,但有时需要重点测试,特别是当允许流量通过防火墙时。
系统的响应或工作流程- 这是需要测试的第三个领域。社会工程收集有关人类交互的信息,以获取有关组织及其计算机的信息。测试各个组织防止未经授权访问其信息系统的能力是有益的。同样,该测试是专门为组织/公司的工作流程设计的。