网络安全渗透测试的类型有哪些?
众所周知,“渗透测试”没有一个标准的定义,按照通用说法来讲:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估机制,有着非常重要的作用。那么网络安全渗透测试的类型有哪些?我们来看看详细的介绍。
第一种:网络渗透测试
是最常见、最热门的渗透测试方法,网络渗透测试能够协助安全测试人员检测和发掘网络系统、以及各种基础设施中的潜在漏洞。网络渗透测试通常分为外部、内部和无线三种类型。
1、外部网络渗透测试:外部网络渗透测试可以帮助我们探索网络系统对于外部威胁的响应能力。此类测试的常见手段是,通过基于互联网的渗透测试,以识别出那些暴露在外部网络中,却属于系统内部的漏洞和弱点。通常会针对防火墙的配置、防火墙的绕过、IPS的欺骗以及DNS级别的毒化攻击等网络攻击。
2、内部网络渗透测试:此类测试旨在通过漏洞扫描,检测并识别内部系统,发现基础设施中的网络安全弱点,进而采用各种利用技术,来查看内部系统的响应行为。从根本上去评估内部系统,以及组织员工遭受从未授权、或恶意攻击的可能性。
3、无线渗透测试:黑客或者攻击者通过无线的方式,渗透进目标系统,在威胁内网安全的同时,利用获取到的特权,去访问各类敏感信息,进而对系统的正常运行造成不利的影响。
第二种:Web应用渗透测试
作为组织的一个重要组成部分与功能,Web应用程序一旦受到攻击就可能导致用户数据以及商业敏感信息泄露。因此,针对Web应用程序的渗透测试,会去检查现有网络中的应用程序,是否存在着由错误或不安全的开发、薄弱的设计以及不当的编程,所引起的任何漏洞或者安全隐患。
第三种:移动应用渗透测试
主要是通过模拟黑客尝试着采用提权等行为,针对那些在android、Windows、ios等设备上运行的原生移动应用、或是由组织自行开发的应用程序开展测试。除了发现和利用移动应用中的漏洞,此类测试也会关注移动应用与后端系统在通信和传输数据时的安全态势。