滲透測(cè)試人員提供多種類型的滲透測(cè)試，例如白盒、灰盒和黑盒滲透測(cè)試。然而，突破行話并從不同類型的滲透測(cè)試中找到合適的術(shù)語(yǔ)可能具有挑戰(zhàn)性。繼續(xù)閱讀以了解這些滲透測(cè)試類型。

黑盒滲透測(cè)試

黑盒滲透測(cè)試，也稱為外部滲透測(cè)試或試錯(cuò)測(cè)試，可幫助公司發(fā)現(xiàn)可從外部利用其系統(tǒng)/應(yīng)用程序/網(wǎng)絡(luò)的漏洞。滲透測(cè)試員扮演一個(gè)沒(méi)有特權(quán)的黑客的角色。他們幾乎沒(méi)有或根本沒(méi)有關(guān)于安全策略、架構(gòu)圖或源代碼的信息，也沒(méi)有被授予訪問(wèn)權(quán)限的信息。

在黑盒滲透測(cè)試中，偵察的責(zé)任在于滲透測(cè)試人員，他們必須收集所有需要的敏感信息，以最深入地滲透到客戶的網(wǎng)絡(luò)中，并盡可能多地發(fā)現(xiàn)漏洞。他們像無(wú)特權(quán)的攻擊者一樣，根據(jù)他們的觀察、分析和研究繪制目標(biāo)系統(tǒng)的地圖。

根據(jù)他們的發(fā)現(xiàn)，滲透測(cè)試人員使用暴力攻擊、緩沖區(qū)溢出、密碼破解等方法攻擊目標(biāo)系統(tǒng)。此外，他們?cè)谶`規(guī)后進(jìn)行特權(quán)升級(jí)和訪問(wèn)維護(hù)。

好處

• 黑盒滲透測(cè)試是最接近真實(shí)世界的攻擊，因?yàn)闈B透測(cè)試人員的行為和思考方式就像一個(gè)無(wú)知的普通攻擊者。
• 滲透測(cè)試人員通常會(huì)利用一系列開(kāi)源工具和多種技術(shù)來(lái)破壞系統(tǒng)，就像典型的攻擊者所做的那樣。
• 當(dāng)由值得信賴且技術(shù)精湛的滲透測(cè)試人員執(zhí)行時(shí)，這種滲透測(cè)試類型會(huì)檢測(cè)到范圍廣泛的漏洞，包括安全配置錯(cuò)誤、XSS、SQL 注入、輸入/輸出驗(yàn)證問(wèn)題、服務(wù)器配置錯(cuò)誤等。
• 這種方法提供了準(zhǔn)確的風(fēng)險(xiǎn)評(píng)估，牢記黑客對(duì)面向公眾的應(yīng)用程序的看法，并建議在生產(chǎn)系統(tǒng)上經(jīng)常這樣做。
• 強(qiáng)烈建議結(jié)合自動(dòng)掃描和定期手動(dòng)滲透測(cè)試來(lái)增強(qiáng)自動(dòng)掃描，并提供準(zhǔn)確的應(yīng)用程序安全狀況和風(fēng)險(xiǎn)評(píng)估。

缺點(diǎn)

• 黑盒滲透測(cè)試的功效取決于滲透測(cè)試人員通過(guò)發(fā)現(xiàn)安全漏洞突破邊界的能力。
• 如果測(cè)試人員無(wú)法定位和利用面向外部的資產(chǎn)和服務(wù)中的漏洞，那么測(cè)試是無(wú)效的，企業(yè)將生活在一種錯(cuò)誤的安全感中。不僅如此，滲透測(cè)試的投入也是一種浪費(fèi)。
• 覆蓋的深度僅取決于提供給滲透測(cè)試人員的信息的范圍，以及通過(guò)自動(dòng)掃描儀可能覆蓋的范圍，以及滲透測(cè)試人員的能力和給他們的時(shí)間以進(jìn)行更深入的研究。

白盒滲透測(cè)試

白盒滲透測(cè)試，也稱為內(nèi)部測(cè)試或透明盒/玻璃盒/結(jié)構(gòu)測(cè)試，可幫助企業(yè)針對(duì)特權(quán)內(nèi)部人員和外部人員測(cè)試系統(tǒng)/網(wǎng)絡(luò)/應(yīng)用程序的強(qiáng)度。在白盒滲透測(cè)試中，滲透測(cè)試人員擁有關(guān)于網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序的完整信息和完全訪問(wèn)權(quán)限，包括源代碼、IP 地址模式、操作系統(tǒng)詳細(xì)信息、配置文件、網(wǎng)絡(luò)地圖、憑據(jù)等。滲透測(cè)試人員執(zhí)行靜態(tài)和動(dòng)態(tài)分析以全面評(píng)估漏洞。

好處

• 白盒滲透測(cè)試提供了對(duì)內(nèi)部和外部漏洞的全面評(píng)估，從普通攻擊者可用的角度進(jìn)行評(píng)估。
• 它有助于識(shí)別基礎(chǔ)架構(gòu)、源代碼、設(shè)計(jì)、業(yè)務(wù)邏輯、排版、語(yǔ)法、安全設(shè)置等方面的漏洞、差距和錯(cuò)誤配置。
• 這種測(cè)試類型更徹底，有助于評(píng)估代碼和應(yīng)用程??序設(shè)計(jì)的質(zhì)量。
• 由于滲透測(cè)試人員可以完全訪問(wèn)信息，因此參與的時(shí)間和成本相對(duì)較少。

缺點(diǎn)

• 鑒于他們掌握的大量信息，滲透測(cè)試人員可能需要更長(zhǎng)的時(shí)間來(lái)決定要關(guān)注哪些領(lǐng)域。
• 這種測(cè)試類型需要更復(fù)雜的滲透測(cè)試工具和方法來(lái)提高有效性。
• 可靠性和信任在白盒滲透測(cè)試中起著至關(guān)重要的作用。它通常會(huì)阻止企業(yè)與測(cè)試人員分享重要的見(jiàn)解，從而降低測(cè)試的有效性。

灰盒滲透測(cè)試

灰盒滲透測(cè)試，也稱為半透明盒測(cè)試，模擬攻擊者擁有部分信息或訪問(wèn)系統(tǒng)/網(wǎng)絡(luò)/應(yīng)用程序（例如登錄憑據(jù)、系統(tǒng)代碼、架構(gòu)圖等）的場(chǎng)景。灰盒測(cè)試旨在了解潛在的威脅損害部分信息訪問(wèn)或特權(quán)用戶可能會(huì)導(dǎo)致業(yè)務(wù)。

好處

• 灰盒滲透測(cè)試在黑盒測(cè)試和白盒測(cè)試的深度和效率之間取得平衡。
• 它提供了更加集中和有效的安全態(tài)勢(shì)評(píng)估。
• 它比試錯(cuò)法更省時(shí)、更劃算，節(jié)省了勘察的時(shí)間和成本。

缺點(diǎn)

• 當(dāng)業(yè)務(wù)定義需要滲透測(cè)試的網(wǎng)絡(luò)區(qū)域時(shí)，灰盒滲透測(cè)試最有效。

結(jié)論

這不是在不同類型的滲透測(cè)試之間進(jìn)行選擇，而是確保您以正確的頻率正確組合所有這些類型以獲得全面覆蓋。黑盒滲透測(cè)試絕對(duì)是必不可少的，因?yàn)樗梢阅M黑客或攻擊者對(duì)您的應(yīng)用程序的看法，提供最重要的風(fēng)險(xiǎn)評(píng)估。