渗透测试主要有哪些方法？

渗透测试通常指模拟黑客采用的漏洞发掘技术及攻击方法，测试工程师对被测试单位的网络、主机、应用及数据是否存在安全问题进行检测的过程，这种活动主要是发现系统的脆弱性，评估信息系统是否安全，从攻击者角度发现分析系统的缺陷及漏洞，并利用这些漏洞实现主动攻击。渗透测试有以下这些类型方法：

1黑盒测试：黑盒测试（Black-box Testing）也称为外部测试（External Testing）。采用这种方式时，渗透测试团队将从一个远程网络位置来评估目标网络基础设施，并没有任何目标网络内部拓扑等相关信息，他们完全模拟真实网络环境中的外部攻击者，采用流行的攻击技术与工具，有组织有步骤地对目标组织进行逐步的渗透与入侵，揭示目标网络中一些已知或未知的安全漏洞，并评估这些漏洞能否被利用获取控制权或造成业务资产的损失。

2白盒测试：白盒测试（White-box Testing）也称为内部测试（Internal Testing）。进行白盒测试的团队将可以了解到关于目标环境的所有内部与底层知识，因此这可以让渗透测试者以最小的代价发现和验证系统中最严重的安全漏洞。如果实施到位，白盒测试能够比黑盒测试消除更多的目标基础设施环境中的安全漏洞与弱点，从而给客户组织带来更大的价值。

3灰盒测试：以上两种渗透测试基本类型的组合可以提供对目标系统更加深入和全面的安全审查，这就是灰盒测试（Grey-box Testing），组合之后的好处就是能够同时发挥两种基本类型渗透测试方法的各自优势。灰盒测试需要渗透测试者能够根据对目标系统所掌握的有限知识与信息，来选择评估整体安全性的最佳途径。在采用灰盒测试方法的外部渗透场景中，渗透测试者也类似地需要从外部逐步渗透进入目标网络，但他所拥有的目标网络底层拓扑与架构将有助于更好地决策攻击途径与方法，从而达到更好的渗透测试效果。

4主机操作系统渗透测试：对Windows、Solaris、AIX、Linux、SCO、SGI等操作系统本身进行渗透测试。

5数据库系统渗透测试：对MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access等数据库应用系统进行渗透测试。

6应用系统渗透测试：对渗透目标提供的各种应用，如ASP、CGI、JSP、PHP等组成的WWW应用进行渗透测试。

7网络设备渗透测试：对各种防火墙、入侵检测系统、网络设备进行渗透测试。

很赞哦！

python编程网提示：转载请注明来源www.python66.com。
有宝贵意见可添加站长微信(底部)，获取技术资料请到公众号(底部)。同行交流请加群