渗透测试的类型
渗透测试的类型通常取决于范围和组织的需求。本章讨论了不同类型的渗透测试。它也被称为渗透测试。
渗透测试的类型
以下是渗透测试的重要类型 −
- 黑盒渗透测试
- 白盒渗透测试
- 灰盒渗透测试
为了更好地理解,让我们详细讨论一下 −
黑盒渗透测试
在黑盒渗透测试中,测试人员对他要测试的系统一无所知。他感兴趣的是收集有关目标网络或系统的信息。例如,在这种测试中,测试人员只知道预期的结果是什么,但不知道结果是如何产生的。他不检查任何编程代码。
黑盒渗透测试的优点
它具有以下优点 −
测试人员不一定是专家,因为它不需要特定的语言知识
测试人员验证实际系统和规范中的矛盾
测试通常是从用户的角度进行的,而不是设计者的角度
黑盒渗透测试的缺点
它的缺点是 −
特别是,这些类型的测试用例很难设计。
可能,如果设计者已经进行了测试用例,则不值得。
它不进行一切工作。
白盒渗透测试
这是一项综合测试,因为测试人员已获得有关系统和/或网络的全方位信息,例如架构、源代码、操作系统详细信息、IP 地址等。它通常被视为内部来源攻击的模拟。它也被称为结构、玻璃盒、透明盒和开盒测试。
白盒渗透测试检查代码覆盖率并进行数据流测试、路径测试、循环测试等。
白盒渗透测试的优势
它具有以下优势 −
确保模块的所有独立路径都已执行。
确保所有逻辑决策及其真值和假值都已验证。
发现排版错误并进行语法检查。
发现可能由于程序逻辑流程与实际执行之间的差异而发生的设计错误。
灰盒渗透测试
在这种类型的测试中,测试人员通常会提供有关系统程序内部细节的部分或有限信息。它可以被视为外部黑客通过非法方式获取组织网络基础设施文档的攻击。</p>
灰盒渗透测试的优势
它具有以下优势 −
由于测试人员不需要访问源代码,因此它是非侵入性和公正的
由于开发人员和测试人员之间存在明显差异,因此个人冲突的风险最小
您不需要提供有关程序功能和其他操作的内部信息
渗透测试的领域
渗透测试通常在以下三个领域进行 −
网络渗透测试 −在此测试中,需要测试系统的物理结构以识别确保网络安全的漏洞和风险。在网络环境中,测试人员识别相应公司/组织网络的设计、实施或操作中的安全漏洞。测试人员测试的设备可以是计算机、调制解调器,甚至是远程访问设备等。
应用程序渗透测试 − 在此测试中,需要测试系统的逻辑结构。它是一种攻击模拟,旨在通过识别漏洞和风险来揭示应用程序安全控制的效率。防火墙和其他监控系统用于保护安全系统,但有时需要进行重点测试,尤其是当流量被允许通过防火墙时。
系统的响应或工作流程 − 这是需要测试的第三个领域。社会工程学收集有关人机交互的信息,以获取有关组织及其计算机的信息。测试相应组织防止未经授权访问其信息系统的能力是有益的。同样,此测试专门针对组织/公司的工作流程而设计。
