在軟體測試領域，滲透測試（Penetration Testing）是一種安全測試方法，旨在評估計算機系統、網路或應用程式的安全性。滲透測試模擬了惡意駭客攻擊的方式和方法，以揭示潛在的安全漏洞和弱點，並提供有關如何修復這些問題的建議。滲透測試有助於組織識別並加強其資訊系統的安全性。

以下是滲透測試的一般過程和要點：

1. **規劃和目標定義**：在進行滲透測試之前，需要明確定義測試的目標和範圍。這可能涉及確定要測試的系統、網路或應用程式，以及要遵循的測試方法和策略。

2. **資訊收集**：滲透測試開始時，收集有關目標系統的資訊是很重要的。這包括收集有關目標的技術細節、網路拓撲、系統架構和可能的漏洞資訊。

3. **漏洞掃描**：在滲透測試的早期階段，常常會使用自動化工具來掃描目標系統，以發現已知的安全漏洞。這些工具會檢查目標系統的配置錯誤、弱密碼、未經修補的軟體漏洞等。

4. **漏洞利用**：在發現潛在漏洞後，滲透測試人員會嘗試利用這些漏洞來獲取對目標系統的未授權訪問。這可以涉及嘗試使用已知的漏洞進行攻擊、社交工程、弱密碼破解等手段。

5. **許可權提升**：一旦訪問了目標系統，滲透測試人員可能會嘗試提升其許可權，以獲取更高 級別的訪問許可權。這可能涉及利用作業系統或應用程式的弱點，以獲取管理員許可權或其他敏感資訊。

6. **後門和永續性訪問**：滲透測試人員可能會嘗試在目標系統上建立後門或保持永續性訪問，以便在測試結束後保持對系統的訪問許可權。這有助於評估系統的防禦能力以及對未經授權訪問的檢測和響應能力。

7. **報告和建議**：滲透測試完成後，測試團隊會編寫詳細的報告，列出發現的漏洞、攻擊路徑和建議的修復措施。這些報告通常包含漏洞的風險評估、潛在的影響和建議的修復步驟。

滲透測試的目標是為組織提供關於其資訊系統安全性的全面評估。透過模擬惡意駭客攻擊的方式，滲透測試的目標是揭示潛在的安全漏洞和弱點，以及評估組織對這些漏洞的防禦能力。以下是滲透測試的主要目標：

1. **漏洞發現**：滲透測試旨在發現系統、網路或應用程式中的安全漏洞。這些漏洞可能是配置錯誤、軟體缺陷、弱密碼、未經修補的軟體漏洞等。透過發現這些漏洞，組織可以及時採取措施來修復它們，以減少潛在的風險。

2. **安全弱點評估**：滲透測試的目標是評估組織資訊系統的安全弱點。它涉及發現系統中存在的安全薄弱點，例如不安全的配置、許可權錯誤、缺乏訪問控制等。透過了解這些弱點，組織可以採取措施來增強其安全性。

3. **防禦能力評估**：滲透測試有助於評估組織的安全防禦能力。透過嘗試模擬攻擊並獲取對系統的未授權訪問，滲透測試可以揭示組織防禦措施的有效性和弱點。這樣，組織可以識別並加強其安全控制措施，以提高對未經授權訪問的檢測和響應能力。

4. **安全意識提高**：滲透測試還可以提高組織內部員工對安全意識的重視。透過模擬攻擊，組織成員能夠親身體驗到潛在的安全風險和威脅，並更好地理解安全實踐的重要性。這有助於培養員工的安全意識，並推動他們採取正確的安全行為。

5. **合規性要求滿足**：許多行業和法規要求組織進行安全評估和滲透測試，以確保其資訊系統符合特定的安全標準和合規性要求。透過進行滲透測試，組織可以滿足這些合規性要求，並證明其對資訊保安的關注和遵循。

總體而言，滲透測試的目標是提供組織對其資訊系統安全性的全面瞭解，並幫助其識別和修復潛在的安全漏洞和弱點。

軟體測試領域的 penetration testing 的概念和目標