什么是安全渗透
渗透测试并没有一个标准的定义。国外一些安全组织达成共识的通用说法是,渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法,这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析。这个分析是从一个攻击者可能存在的位置进行的,并且从这个位置有条件主动利用安全漏洞。
渗透测试与其他评估方法不同。通常的评估方法是根据已知信息资源或其他被评估对象,去发现所有相关安全的问题。渗透测试时根据已知可利用的安全漏洞,去发现是否在响应的信息资源。相对比较而言,通常评估方法对评估结果更具有全面性,而渗透测试更注重安全漏洞的严重性。
渗透测试有黑盒和白盒两种测试方法。黑盒测试时指在对基础设施不知情的情况下进行测试。白盒测试时指在完全了解结构的情况下进行测试。不论测试方法是否相同,渗透测试通常具有两个显著特点:
1.渗透测试时一个渐进的且逐步深入的过程。
2.渗透测试时选择不影响业务系统正常运行的攻击方法进行的测试。