4000-110-253
滲透測試主要是對風險控制(zhì)測試. 2021-02-04
在開(kāi)始滲透測試前,測試人(rén)員應當了解測試過程會(huì)會(huì)發生(shēng)哪些(xiē)風險,最終針對風險去制(zhì)定一套控制(zhì)措施。
利用滲透測試,除了可(kě)以較為(wèi)全面地進行(xíng)系統安全評估之外,還(hái)可(kě)以針對某些(xiē)安全測試,比如對軟件系統訪問控制(zhì)模塊的測試、弱口令測試等。這些(xiē)安全專項測試使用一 般的軟件功能測試、模糊測試,甚至包括逆向分析等手段很(hěn)難有(yǒu)效完成。
與逆向分析和(hé)模糊測試相比較,滲透測試可(kě)以挖掘一些(xiē)這兩種方法無法發現的漏洞。例如,訪問控制(zhì)缺陷。目前幾乎所有(yǒu)的網絡安全設備都使用了基于角色的訪問控制(zhì)策略。
通(tōng)過逆向分析和(hé)模糊測試很(hěn)難發現這種訪問控制(zhì)策略存在的漏洞,或者即使在模糊測試過程中發生(shēng)了這種未授權的訪問,但(dàn)對于模糊測試工具而言,它并不理(lǐ)解這樣的邏輯是否正确。類似的情況還(hái)有(yǒu)密碼被猜測漏洞、配置漏洞、多(duō)因素漏洞等等。
滲透測試的時(shí)候主要是用黑(hēi)客方法以及思路進行(xíng),從單點上(shàng)面通(tōng)過利用途徑,最終證明(míng)是不是存在一定的問題,最終幫助客戶将認識給提高(gāo),把一些(xiē)急迫的問題給解決,但(dàn)是沒有(yǒu)辦法針對系統做(zuò)完備的安全測試。
/
