滲透測試（筆測試）是每個組織都必須在其網絡安全軍械庫中擁有的關鍵且不可或缺的組成部分。滲透測試使組織能夠評估其安全措施的強度和有效性，其中受信任的滲透測試人員在安全條件下模擬網絡攻擊，并提交一份報告，其中包含狀態和對策建議，以最大限度地降低風險并增強安全態勢。

隨機/盲目地或對網站/Web 應用程序/網絡的所有數字資產和組件進行滲透測試是不明智或經濟上不可行的。任何滲透測試的范圍和入侵級別取決于您的預期結果、需求和背景。值得信賴的專業安全專家，將始終根據這些參數選擇正確的滲透測試工具、方法和技術組合。

在本文中，我們將研究根據測試的完成方式/方法以及目標組件/資產/區域分類的滲透測試。

基于所用方法的滲透測試類型

A.黑盒測試

黑盒筆測試，也稱為外部測試或試錯測試，是公司/資產在互聯網上可見的外部資產。這些類型的測試模擬真實世界的攻擊，測試人員不知道應用程序/網絡/系統的來龍去脈，并將對 IT 基礎設施發起暴力攻擊或盲目攻擊。

測試人員提取對目標的見解，并根據機器人或其他自動化流程和工具的輸入評估其功能，這些流程和工具可以挖掘目標系統/網絡/應用程序中的漏洞和差距。

b.白盒測試

白盒筆測試，也稱為內部測試或結構/透明/玻璃盒測試，是測試人員具有根級/管理員級別訪問權限并獲得有關要測試的系統/網絡/應用程序的完整信息的地方，包括源代碼、IP 地址架構、操作系統詳細信息等。目標是針對惡意內部人員或使用網絡釣魚攻擊竊取憑據的外部人員測試系統/網絡/應用程序的內部結構和強度。

通過白盒測試，您可以了解內部操作和模塊是否按照規范正確執行，并檢測邏輯、設計、印刷和語法錯誤，以及基礎設施或環境中的錯誤配置。這些需要更復雜的滲透測試工具。

C.灰盒測試

灰盒滲透測試是向測試人員提供有關系統/網絡/應用程序的部分信息（例如訪問軟件代碼、系統架構圖等）以模擬攻擊的地方。這種類型的測試模擬外部實體獲得對基礎結構文檔的非法訪問并跟蹤部分信息訪問如何影響目標的場景。

基于目標組件/資產/區域的滲透測試類型

網絡服務測試

最常見和最受歡迎的滲透測試類型，網絡服務測試，旨在挖掘網絡基礎設施中的漏洞和差距，并結合內部/客戶端和外部/遠程測試。這不是一種深度滲透測試。在這里，針對的網絡領域包括防火墻配置、狀態分析、SQL Server、SMTP 郵件服務器、DNS、IPS 規避等。

2. 網絡應用測試

Web 應用程序測試是一種更強烈、更深入、更詳細和更有針對性的滲透測試，用于發現 Web 應用程序中的漏洞、漏洞和錯誤配置。這是一種耗時且復雜的測試，其中規劃和策略對于提高效率至關重要。此處針對的領域包括 API、ActiveX、插件、Applet、Scriptlet 等。

3.客戶端測試

這種類型的測試旨在識別本地出現并可從客戶端利用的軟件漏洞。例如，Web 瀏覽器、內容創建軟件（MS Office Suite、Photoshop、Adobe Page Maker）、媒體播放器等。

4. 社會工程學測試

在這里，測試人員試圖通過欺騙員工/用戶獲取專有或機密信息來模擬攻擊。目標是測試組織中人際網絡的意識和力量。社會工程測試有兩個子類別：

• 使用網絡釣魚技術通過電子方式竊取機密信息的遠程測試。
• 物理測試，測試人員通過模擬、垃圾箱潛水、威脅、令人信服的電話等方式使用物理手段或存在來獲取機密信息。

5. 無線網絡測試

這種類型的筆測試旨在識別客戶端使用的無線設備中的漏洞和弱點。例如，平板電腦、智能手機、筆記本電腦等。這些測試還包括無線協議、無線接入點和管理員憑證。

選擇正確的滲透測試工具組合，為組織的安全工作注入急需的主動性和洞察力元素。