渗透测试的类型通常取决于范围以及组织的需求和要求。本章讨论有关渗透测试的不同类型。也称为笔测试。

笔测试的类型

以下是笔测试的重要类型-

• 黑匣子渗透测试
• 白盒渗透测试
• 灰盒渗透测试

为了更好地理解，让我们详细讨论它们-

黑匣子渗透测试

在黑匣子渗透测试中，测试人员不知道要测试的系统。他有兴趣收集有关目标网络或系统的信息。例如，在此测试中，测试人员仅知道预期结果应该是什么，而他不知道结果如何到达。他不检查任何编程代码。

黑匣子渗透测试的优势

它具有以下优点-

• 测试人员不一定是专家，因为它不需要特定的语言知识

• 测试人员验证实际系统和规格中的矛盾

• 测试通常以用户而非设计者的角度进行

黑匣子渗透测试的缺点

它的缺点是-

• 特别是，这类测试用例很难设计。

• 如果设计师已经进行了一个测试案例，可能不值得。

• 它不能执行所有操作。

白盒渗透测试

这是一项全面的测试，因为已经向测试人员提供了有关系统和/或网络的全部信息，例如架构，源代码，OS详细信息，IP地址等。通常将其视为攻击者的模拟攻击。内部来源。也称为结构，玻璃箱，透明箱和开箱测试。

白盒渗透测试将检查代码覆盖率，并进行数据流测试，路径测试，循环测试等。

白盒渗透测试的优势

它具有以下优点-

• 它确保已使用模块的所有独立路径。

• 它确保所有逻辑决策及其正确和错误的值都得到了验证。

• 它发现印刷错误并进行语法检查。

• 它查找由于程序逻辑流程与实际执行之间的差异而可能发生的设计错误。

灰盒渗透测试

在这种类型的测试中，测试人员通常会提供有关系统程序内部细节的部分或有限信息。可以将其视为对组织的网络基础结构文档具有非法访问权的外部黑客的攻击。

灰箱渗透测试的优势

它具有以下优点-

• 由于测试人员不需要访问源代码，因此它是非侵入性和公正的

• 由于开发人员和测试人员之间存在明显差异，因此人身冲突的风险最小

• 您无需提供有关程序功能和其他操作的内部信息

渗透测试领域

渗透测试通常在以下三个方面进行-

• 网络渗透测试-在此测试中，需要对系统的物理结构进行测试，以识别漏洞和风险，从而确保网络的安全性。在网络环境中，测试人员会识别各自公司/组织网络的设计，实施或操作中的安全漏洞。由测试人员测试的设备可以是计算机，调制解调器，甚至是远程访问设备等。

• 应用渗透测试-在此测试中，需要测试系统的逻辑结构。它是一种攻击模拟，旨在通过识别漏洞和风险来展示应用程序安全控制的效率。防火墙和其他监视系统用于保护安全系统，但有时需要进行重点测试，尤其是在允许流量通过防火墙的情况下。

• 系统的响应或工作流程-这是需要测试的第三个区域。社会工程学收集有关人机交互的信息，以获得有关组织及其计算机的信息。测试各个组织防止未授权访问其信息系统的能力是有益的。同样，此测试是专门为组织/公司的工作流程设计的。