TechTarget信息化 > 百科词汇

penetration testing:渗透测试

渗透测试(penetration testing,pen testing,pen test)是通过测试计算机系统、网络或Web应用程序来寻找攻击者可利用的漏洞。

  渗透测试可以在应用软件中自动测试也可以手动进行。无论哪种方式,都包括测试前收集目标信息(侦察)、确定可能的切入点、试图进入(不管是虚拟的还是现实的)和汇报测试结果这四个步骤。

  渗透测试的主要目的是确定安全弱点。渗透测试也可以用来测试组织的安全政策遵守情况、员工的安全意识和组织识别和应对安全事故的能力。

  渗透测试有时被称为白帽(white hat)攻击,因为在渗透测试中,好人都试图进入。

  渗透测试(penetration testing)策略包括:

  目标测试
  目标测试是由一个组织的IT团队和渗透测试团队一起来执行的。因为每个人都可以看到该测试,所以有时它也被称为“明灯”测试。

  外部测试
  这种类型的渗透测试以公司的外部可见服务器或设备,包括域名服务器(DNS)、电子邮件服务器、Web服务器或防火墙为目标。其目的是要找出外部攻击是否可能入侵,以及一旦它们入侵它们会攻击哪里。

  内部测试
  内部测试是模拟防火墙后由有标准访问权限且经授权的用户发出的内部攻击。这种测验对评估员工不满可能会导致的损失是很有用的。

  盲样测试
  通过严格限制提供给进行测试的个人或团队的信息,盲样测试策略可以模拟真正的攻击者的行动和程序。通常情况下,他们只提供公司的名称。因为这种类型的测试可能需要相当长的时间来进行侦察,所以它的费用较高。

  双盲测试
  双盲测试除了进行盲目测试还进行更近一步的测试。在这种类型的渗透测试中,可能只有一两个人知道测试正在进行。双盲试验可用于测试一个组织的安全监控和事故鉴定系统以及其反应程序。

最近更新时间:2009-08-31 作者:Jonathan Gershater和Puneet Mehta翻译:曾芸芸EN

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 三款免费渗透测试工具

    如果操作正确,渗透测试将是一个无比宝贵的工具,可以让你从一个完全不同的角度看你的网络和系统安全。不要害怕渗透测试,你要对此感到兴奋!

  • SaaS供应商的云安全保障五大问题

    虽然SaaS能够提供灵活和具有成本效益的应用使用环境来取代传统模式,但它并非没有风险。因为转移到托管平台,企业必然会牺牲许多对于营运环境的控制……