News
网络安全渗透测试的7种主要类型
渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法,包括了对系统各类弱点、技术缺陷或漏洞的主动分析。由于渗透测试需要通过模拟黑客攻击来评估目标系统的安全性和漏洞,因此可能会带来一些风险,比如影响目标系统的正常运行、泄露敏感数据、引起法律纠纷等。为了确保测试工作的安全性和有效性,企业组织在开展渗透测试工作前,需要全面了解测试的类型、方法和原则。本文将对其中的7种最常见类型进行介绍:
网络渗透测试
如果攻击者能够成功闯入公司的网络,其引发的风险将会非常高。网络渗透测试主要指测试人员尝试绕过防火墙、测试路由器、规避入侵检测和防御系统(IPS/IDS)、扫描端口和代理服务,并寻找所有类型的网络漏洞。在实际应用中,网络渗透测试工作主要包括外部网络渗透测试与内部网络渗透测试。在外部网络渗透测试中,面向互联网的资产是模拟攻击的主要目标。通常,目标资产会由客户提供,但也可以在客户确认的情况下执行“无范围”(no-scope)测试。测试人员将尝试在扫描期间发现的任何可利用漏洞。此外,允许登录的暴露服务将受到密码猜测攻击的影响,例如暴力破解或密码喷射。对外开放的企业网站通常会接受额外的审查,以寻找攻击者容易利用的常见Web漏洞。
内部网络渗透测试则是从已获得组织内部网络访问权限的角度进行,可以在测试人员和客户员工之间提供有益的互动,测试人员可以使用客户提供的基础设施,或是他们自己的物理或虚拟远程测试系统来进行远程访问。
