渗透测试的类型通常取决于范围和组织的需求和要求.本章讨论不同类型的渗透测试.它也被称为笔测试.
以下是笔测试的重要类型和减号;
黑盒渗透测试
白盒渗透测试
灰盒渗透测试
为了更好地理解,让我们详细讨论每一个 :
黑盒渗透测试,测试人员不知道他将要测试的系统.他有兴趣收集有关目标网络或系统的信息.例如,在此测试中,测试人员只知道预期结果应该是什么,并且他不知道结果是如何到达的.他没有检查任何编程代码.
它具有以下优点和减号;
测试人员不一定是专家,因为它不需要特定的语言知识
测试人员验证实际系统和规范中的矛盾
测试通常是以用户的角度进行的,而不是设计师
它的缺点是 :
特别是,这类测试用例难以设计.
可能是不值得,因为设计师已经进行了一个测试用例.
它没有执行任何操作.
这是一项综合测试,因为测试仪已经提供了全部测试有关系统和/或网络的信息,例如架构,源代码,操作系统详细信息,IP地址等.它通常被视为内部源攻击的模拟.它也被称为结构,玻璃盒,透明盒和开箱测试.
白盒渗透测试检查代码覆盖率并进行数据流测试,路径测试,循环测试等.
它具有以下优点 :
它确保模块的所有独立路径都已被运用.
它确保所有逻辑决策都有已经过验证及其真假值.
它会发现印刷错误并进行语法检查.
它找到了由于程序的逻辑流程与实际执行之间的差异而可能发生的设计错误.
在此类测试中,测试人员通常会提供有关系统程序内部详细信息的部分或有限信息.它可以被视为外部黑客的攻击,他们获得了非法访问组织的网络基础架构文档.
它具有以下优点 :
由于测试人员不需要访问源代码,因此不是侵入性和公正性
由于开发人员和测试人员之间存在明显差异,因此个人冲突风险最小
您无需提供有关程序功能和其他操作的内部信息
渗透测试通常在以下三个区域进行 :
网络渗透测试 : 在此测试中,需要测试系统的物理结构,以确定可确保网络安全的漏洞和风险.在网络环境中,测试人员识别相应公司/组织网络的设计,实现或操作中的安全缺陷.由测试仪测试的设备可以是计算机,调制解调器,甚至是远程访问设备等.
应用程序渗透测试 : 去;在此测试中,需要测试系统的逻辑结构.它是一种攻击模拟,旨在通过识别漏洞和风险来揭示应用程序安全控制的效率.防火墙和其他监控系统用于保护安全系统,但有时需要进行集中测试,尤其是当允许流量通过防火墙时.
系统的响应或工作流程 : 这是需要测试的第三个领域.社交工程收集有关人员交互的信息,以获取有关组织及其计算机的信息.测试相应组织防止未经授权访问其信息系统的能力是有益的.同样,此测试专为组织/公司的工作流程而设计.