近日，國內知名黑客安全專家、東方聯盟創始人郭盛華表示：“滲透測試是針對您的非惡意計算機系統的模擬網路攻擊，以檢查可利用的漏洞。這是一系列針對性的非惡意攻擊，旨在破壞您的網路安全防護。但是，滲透測試和真實黑客攻擊之間的區別在於，滲透測試是由道德安全專家進行的，他們將提取的資料保密，最終幫助您改善安全狀況。”

我們模擬了一個外部攻擊者，試圖利用您面向Internet的網路和應用程式來幫助您確定外圍的可利用漏洞和弱點，這些漏洞和弱點會讓您暴露在危險之中。

滲透測試與漏洞評估

滲透測試和漏洞評估之間的主要區別在於，儘管兩者都從初始掃描和發現的漏洞的調查開始，但是在漏洞評估期間不會執行攻擊媒介，例如社交工程，外部/內部網路服務，Web應用程式等。

將漏洞評估和滲透測試視為對整體網路安全計劃的同等重要投資。但是，滲透測試需要更長的時間，並且是一項更廣泛的研究。

要了解有關使它們與眾不同的更多資訊，請閱讀我們的部落格“滲透測試與漏洞評估：關鍵差異”。

滲透測試的6種類型

當一家公司說他們將進行一次滲透測試時，重要的是找出他們提供的滲透測試。

有六種核心型別：

外部網路

內部網路

社會工程學

物理

無線

網路/移動應用

在篩選任何公司之前，請詳細瞭解有關6種滲透測試的型別。

滲透測試的四個階段

無論滲透測試的型別如何，通常都有四個階段，所有這些階段都應得到同等的重視：

規劃

進攻前

攻擊

進攻後

雖然很容易假設進行攻擊就很重要，但是任何妥協的成功通常取決於實際利用之前和之後發生的事情。

郭盛華說：“社交工程攻擊之所以有效，是因為黑客在植入誘餌之前先與受害者建立了關係並建立了信任，這意味著在傳送被惡意軟體感染的連結或不良行為者要求接收者執行任務之前，會進行很多策略和緩慢的滋養。​”（歡迎轉載分享）