渗透测试的类型

渗透测试的类型通常取决于范围和组织的需求和要求。本章讨论不同类型的渗透测试。它也被称为笔测试。

笔测试的类型

以下是渗透测试的重要类型 –

• 黑匣子渗透测试
• 白盒渗透测试
• 灰盒渗透测试

为了更好地理解，让我们详细讨论它们中的每一个 –

黑匣子渗透测试

在黑盒渗透测试中，测试人员不知道他要测试的系统。他有兴趣收集有关目标网络或系统的信息。例如，在这个测试中，测试人员只知道预期的结果应该是什么，而他不知道结果是如何到达的。他不检查任何编程代码。

黑盒渗透测试的优势

它具有以下优点 –

• 测试人员不一定是专家，因为它不需要特定的语言知识

• 测试人员验证实际系统和规格中的矛盾

• 测试通常是从用户的角度进行的，而不是设计者的

黑盒渗透测试的缺点

它的缺点是 –

• 尤其是这类测试用例，设计难度大。

• 可能不值得，incase 设计师已经进行了测试用例。

• 它不会执行所有操作。

白盒渗透测试

这是一项全面的测试，因为测试人员已获得有关系统和/或网络的全部信息，例如架构、源代码、操作系统详细信息、IP 地址等。它通常被视为模拟攻击者内部来源。它也被称为结构、玻璃盒、透明盒和开盒测试。

白盒渗透测试检查代码覆盖率并进行数据流测试、路径测试、循环测试等。

白盒渗透测试的优势

它具有以下优点 –

• 它确保一个模块的所有独立路径都已被执行。

• 它确保所有逻辑决策及其真假值都已得到验证。

• 它发现印刷错误并进行语法检查。

• 它发现由于程序的逻辑流程与实际执行之间的差异而可能发生的设计错误。

灰盒渗透测试

在这种类型的测试中，测试人员通常会提供有关系统程序内部细节的部分或有限信息。它可以被认为是由非法访问组织网络基础设施文档的外部黑客发起的攻击。

灰盒渗透测试的优势

它具有以下优点 –

• 由于测试者不需要访问源代码，所以它是非侵入性和无偏见的

• 由于开发人员和测试人员之间存在明显差异，因此个人冲突的风险最小

• 不需要提供程序功能和其他操作的内部信息

渗透测试领域

渗透测试通常在以下三个方面进行 –

• 网络渗透测试– 在此测试中，需要测试系统的物理结构以识别确保网络安全的漏洞和风险。在网络环境中，测试人员识别相应公司/组织网络的设计、实施或操作中的安全缺陷。由测试人员测试的设备可以是计算机、调制解调器，甚至远程访问设备等

• 应用渗透测试– 在此测试中，需要测试系统的逻辑结构。它是一种攻击模拟，旨在通过识别漏洞和风险来揭示应用程序安全控制的效率。防火墙和其他监控系统用于保护安全系统，但有时需要重点测试，尤其是在允许流量通过防火墙时。

• 系统的响应或工作流程– 这是需要测试的第三个领域。社会工程学收集有关人类互动的信息，以获取有关组织及其计算机的信息。测试相应组织防止未经授权访问其信息系统的能力是有益的。同样，此测试专为组织/公司的工作流程而设计。