什麼是滲透測試？

滲透測試(Penetration test)是模擬駭客入侵，透過外部如伺服器、網路服務等容易成為安全弱點的地方試圖入侵企業的網站、資訊系統或主機等嘗試獲得未經授權的權限，用以測試企業的資安防護是否穩固並找出潛在的漏洞。

先前我們聊到駭客的時候就有提到，在幫忙企業做滲透測試的人通稱白帽駭客。

滲透測試方式

滲透測試的方式分為三種分別是白箱、灰箱與黑箱測試：

• 白箱測試(White-Box testing)

  測試者完全知曉網路型態，內部結構等

• 灰箱測試(Grey-Box testing)

  測試者僅會知道部分資訊，了解的程度取決於企業對於防範目標的需求

• 黑箱測試(Black-Box testing)

  測試者完全不知道任何情報，知道的僅是攻擊目標(企業/應用程式)的名稱

弱點掃描vs滲透測試

弱點掃描和滲透測試都是找尋資安弱點的方式，但兩者皆有不同的地方以及相比較下的優缺點，讓我們來稍微看一下弱點掃描和滲透測試不同之處吧！

弱點掃描：

• 花費便宜、消耗天數少
• 依賴自動化掃描檢索弱點
• 可一次性做大規模掃描
• 攻擊指令過於固定且無法測試跨平台或邏輯性漏洞

滲透測試：

• 花費較多、測試時間較長
• 能找出更多程式設計面、技術性或邏輯性上的漏洞
• 於第一時間找出未被發現攻擊途徑或尚未發布的漏洞(零時差漏洞)

參考資料

滲透測試
資安弱點掃描v.s滲透測試，差異在哪？3分鐘看優缺點和流程！