[L]测试的一些基础概念

Load

1.基础入门

渗透测试

渗透测试的意义
-提前发现系统各个脆弱的环节，了解入侵者可能利用的安全隐患。
-说明漏洞的危害程度，影响范围，可直观的让管理员、运维、开发人员知道系统面临的风险隐患。
-了解系统的整体安全强度。

基本概念
-渗透测试是信息安全评估的重要方法之一
-在客户授权的情况下。模拟攻击者攻击的方法和思维方式，评估受测计算机网络系统可能存在的风险。
-渗透测试是考验测试者的综合能力，思路与经验的积累往往决定测试成败。
-渗透测试的目的不是黑掉网站，而是全面彻底的发现系统所存在的风险。

渗透测试和入侵的区别
一个是出于保护系统的目的。更全面的找出服务器存在的安全隐患。一个是不择手段的（甚至具有破坏性）拿到系统权限


对比收益

-漏洞扫描
自动化程度高，速度快，效率高，门槛低，但是存在一定的误报漏报。会对目标服务器产生一定的负载压力。
适合短时间内快速的了解大量的资产防御情况
-人工渗透测试
通过人工的测试方式，更深入全面的挖掘漏洞。误报率和漏洞发现率较低，并且可以控制测试产生的影响，但是会提升一定的测试成本，测试的结果依赖于测试人员的经验和技术
适合重点系统资产的风险排除

-代码审计
直接对源代码进行分析，发现程序中的安全缺陷，代码审计可以帮助测试人员更加清楚的梳理出所有的业务功能和处理逻辑。可以提升测试的深度。但是对测试人员的代码水平要求比较高，测试速度也比较慢
适合全面严格检查代码层面的安全性
-渗透测试
时间成本比较可控，挖掘漏洞的性价比高，而且能全方位的检查目标系统的安全风险。而且渗透测试更接近于模拟真实环境下的攻击，更直观的反应系统的安全风险

黑盒测试和白盒测试
-黑盒测试
不了解目标系统的信息情况下进行测试
-白盒测试
从内部发起，拥有系统的内部信息。
或者理解为知道源码和不知道源码的渗透测试