渗透测试

一、渗透测试是什么？

渗透测试，也被称为漏洞评估或安全测试，是一种通过模拟恶意黑客的攻击方法，可以模拟黑客攻击，找出未公开的漏洞和弱点，评估计算机网络系统安全，进一步帮助组织识别和解决安全风险。渗透测试可以测试网络、应用程序、操作系统和其他计算机系统的安全性，以评估其能否抵抗未经授权的访问和攻击。它是为了证明网络防御按照预期计划正常运行的一种机制。

二、渗透测试的类型

1.根据位置的不同，渗透测试可以分为内网渗透和外网渗透。

内网渗透模拟客户内部违规操作者的行为，在内网对目标进行渗透测试；

外网渗透则模拟对内部状态一无所知的攻击者的行为（包括对网络设备的远程攻击，口令管理安全测试，防火墙规则试探和规避，web及其他开放应用服务的安全测试等），从外网对目标进行渗透测试。

2.根据目标的不同，渗透测试可以分为主机操作系统测试、数据库系统渗透测试、应用系统测试和网络设备渗透测试。

主机操作系统测试是对Windows、Solaris、AIX、Linux、SCO、SGI等操作系统本身进行渗透测试；

数据库系统渗透测试则对MS-SQL、Oracle、MySQL、informix、Sybase、DB2、access等数据库应用系统进行渗透测试；

应用系统测试则对渗透目标提供的各种应用，如ASP、CGI、JSP、PHP等组成的WWW应用进行渗透测试；

网络设备渗透测试则对各种防火墙、入侵检测系统、路由器、交换机等网络设备进行渗透测试。

3. 根据方法的不同，渗透测试可以分为黑箱测试、白盒测试和隐秘测试。

黑箱测试完全不考虑系统的内部结构和细节，只根据输入和输出来评价系统的安全性；

白盒测试则需要对系统的内部结构和细节有深入的了解，才能进行有效的攻击；

隐秘测试则是介于黑箱测试和白盒测试之间的一种测试方法，既考虑系统的内部结构和细节，又不需要完全了解系统的内部结构。

三、渗透测试的费用

收费方式一般有两种：
1.第三方软件测试报告收费是依据具体内容进行评估，如只有功能性测试，则需要提供具体功能清单，根据功能数量进行评估，若还有其他技术指标，如性能效率、信息安全性等需提供完整清单评估后报价。价格区间一般是几千到几万不等。
2.根据建设费用的2-5%进行收费。

标签：渗透测试、测试类型