其實(shí)很多安全漏洞都屬于Web應(yīng)用漏洞��,這些Web漏洞可以通過滲透測(cè)試驗(yàn)證���。滲透測(cè)試是利用模擬黑客攻擊的方式,評(píng)估計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全性能的一種方法�。這個(gè)過程是站在攻擊者角度對(duì)系統(tǒng)的任何弱點(diǎn)、技術(shù)缺陷或漏洞進(jìn)行主動(dòng)分析����,并且有條件地主動(dòng)利用安全漏洞����。
滲透測(cè)試并沒有嚴(yán)格的分類方法,即使在軟件開發(fā)生命周期中���,也包含了滲透測(cè)試的環(huán)節(jié)�����,但是根據(jù)實(shí)際應(yīng)用�,普遍認(rèn)為滲透測(cè)試分為黑盒測(cè)試、白盒測(cè)試2類�,其中黑盒測(cè)試中,滲透者完全處于對(duì)系統(tǒng)一無(wú)所知的狀態(tài)���,而白盒測(cè)試與黑盒測(cè)試恰恰相反����,滲透者在完全了解程序結(jié)構(gòu)的情況下進(jìn)行測(cè)試����。但是不管采用哪種測(cè)試方法,滲透測(cè)試都具有以下特點(diǎn)�。
(1)滲透測(cè)試是一個(gè)漸進(jìn)的并且逐步深人的過程。
(2)滲透測(cè)試是選擇不影響業(yè)務(wù)系統(tǒng)正常運(yùn)行的攻擊方法進(jìn)行的測(cè)試����。
