4000-110-253
渗透测试主要是对风险控制测试. 2021-02-04
在开始渗透测试前,测试人员应当了解测试过程会会发生哪些风险,最终针对风险去制定一套控制措施。
利用渗透测试,除了可以较为全面地进行系统安全评估之外,还可以针对某些安全测试,比如对软件系统访问控制模块的测试、弱口令测试等。这些安全专项测试使用一 般的软件功能测试、模糊测试,甚至包括逆向分析等手段很难有效完成。
与逆向分析和模糊测试相比较,渗透测试可以挖掘一些这两种方法无法发现的漏洞。例如,访问控制缺陷。目前几乎所有的网络安全设备都使用了基于角色的访问控制策略。
通过逆向分析和模糊测试很难发现这种访问控制策略存在的漏洞,或者即使在模糊测试过程中发生了这种未授权的访问,但对于模糊测试工具而言,它并不理解这样的逻辑是否正确。类似的情况还有密码被猜测漏洞、配置漏洞、多因素漏洞等等。
渗透测试的时候主要是用黑客方法以及思路进行,从单点上面通过利用途径,最终证明是不是存在一定的问题,最终帮助客户将认识给提高,把一些急迫的问题给解决,但是没有办法针对系统做完备的安全测试。
http://www.wonderonline.cn/
