Penetration Testing 渗透测试
简称 pen test。模拟真实攻击来发现系统、网络、应用、流程的漏洞。“花钱让人来打你,在真坏人打你之前”。
跟其他评估方式的对比:
| 方式 | 深度 | 自动化 |
|---|---|---|
| 漏洞扫描(Vulnerability Scan) | 浅,只查已知漏洞 | 全自动 |
| 渗透测试(Pen Test) | 深,模拟真实攻击链 | 主要靠人 |
| 红队演练(Red Team) | 最深,持续数月,目标完成式 | 人 + 工具 |
按了解程度分类:
- Black Box —— 测试者啥也不知道,从零开始(模拟外部攻击者)
- Grey Box —— 给一些信息(普通用户账号),模拟”普通员工被入侵”
- White Box —— 给完整文档/源码,深度审计
测试范围(scope):
- 网络层 —— 端口扫描、漏洞利用
- 应用层 —— SQL 注入、XSS、CSRF
- 物理 —— 能不能溜进办公室插 U 盘
- 社工 —— 钓鱼邮件、电话欺骗
- 无线 —— 公司 Wi-Fi 安全
合规要求:
- PCI-DSS 强制每年一次 pen test
- 多数大公司每年至少一次外部 pen test