渗透测试的通俗解释,即模拟攻击者(类似于黑客)的角度对目标系统进行攻击,检测网络防御是否按照预期计划正常运行的一种评估方法。
下面简单介绍一下最常见的渗透测试的两种类型:白盒测试和黑盒测试
白盒测试
白盒测试又叫透明盒测试,顾名思义即我们能看到程序的代码逻辑。测试人员通过对程序所有逻辑路径进行测试,检测是否能达到预期效果。但由于路径数目极大,测试人员只能尽可能地覆盖到每一条路径而无法全部覆盖,因此存在一定缺陷。
黑盒测试
黑盒测试即测试对象相当于一个黑盒子,里面的内容我们是看不到,我们所能接收到的是最后的结果。测试人员只需要按照需求规格说明书的规定正常使用,检测程序是否能适当地接收输入数据而产生正确的输出信息即可
所以,其两者最大的区别就是前者注重过程,而后者注重结果,没有哪个更好的说法,现在的测试人员也一般是黑白并行,不管黑猫白猫,抓到老鼠的就是好猫!
那么渗透测试存在的意义是什么呢?
随着网络的发展,越来越多的企业将传统的交易平台转移到互联网上进行,企业的信息系统存放的重要数据也日渐增多,随之而来的安全问题让我们不得不开始重视。而渗透测试就像参加考试,虽然每个人都认为自己准备充分,该背的背了,该理解的理解了,但能拿满分的人却并不多见。
不测试,永远无法发现我们存在的缺失。
而这些缺失,发生在企业身上,可能是一个致命的伤害。世界知名的比特币交易平台Mt.Gox,就是由于系统漏洞遭到黑客攻击,交易平台的8 5万个比特币被盗一空,损失4.67亿美元后,资金链出现了严重断裂,导致公司最终只能无奈宣布破产。
可见,做好渗透测试对企业来说是非常重要的一环。但有许多企业管理层都有个错误的认识,认为渗透测试只是通过自动化的工具机械化生成的报告,不需要耗费太多的人力,其实不然,渗透测试真正有价值的部分,恰恰是专业的技术人员利用他们专业的知识、过往的经验,对扫描的结果进行分析和判断,抓出机器都无法发现的问题和隐患,提出的相应建议。所以选择优秀的技术人员,才能更大程度地保障企业的网络安全。
