　　您知道滲透測試嗎?對滲透測試瞭解多少呢?如果不瞭解沒關係，今天小編特為大家整理了一篇有關“滲透測試”相關內容的文章，我們一起來揭開滲透測試的神秘面紗吧。

　　滲透測試的起源與定義

　　20世紀90年代，美國軍方與國家安全域性將軍事演習中的藍軍和紅軍攻防體系引入資訊保安領域，資訊網路與資訊保安基礎設施的攻防測試領域慢慢發展起來。滲透測試就是一種模擬惡意攻擊者的技術與方法，挫敗目標系統安全控制措施，取得訪問控制權，並發現具備業務影響後果安全隱患的一種安全測試與評估方式。

　　滲透測試三種分類

　　①黑盒測試：滲透測試人員只知道要測試的目標系統具體是哪個系統，但系統內部的任何資訊都不知道。滲透測試人員就像是站在一個漆黑的房間裡，什麼都看不見，只有找到漏洞才能出去，該去哪裡找呢?完全不知道，只能一點點的探索。

　　②白盒測試：滲透測試人員事先知道目標系統的詳細資訊，在這種情況下做滲透測試，滲透測試人員大多就是根據經驗或者標準操作流程，將可能出現問題的點挨個去篩選一遍。

　　③灰盒測試：白+黑就是灰色，灰盒測試是介於上述兩種測試之間的一種方法，對目標系統有所一定的瞭解，還掌握了一定的資訊，可是並不全面。滲透測試人員得持續性的蒐集資訊，並結合已知資訊從中將漏洞找出。

　　滲透測試是否等同於風險評估?

　　不是，你可以暫時理解成滲透測試屬於風險評估的一部分。事實上，風險評估遠比滲透測試複雜的多，它除滲透測試外還要加上資產識別、風險分析，除此之外，也還包含了人工審查以及後期的最佳化部分。

　　已經進行了安全審查，還需要滲透測試嗎?

　　當然，滲透測試是不可缺少的環節之一，是必須要做的。

　　滲透測試流程

　　①前期互動階段

　　②情報蒐集階段

　　③威脅建模階段

　　④漏洞分析階段

　　⑤滲透攻擊階段

　　⑥後滲透攻擊階段

　　⑦報告階段

滲透測試是什麼？滲透測試三種分類主要包括哪些？

相關文章