什么是渗透测试

渗透测试服务(黑盒测试)是指在客户授权许可的情况下,利用各种主流的攻击技术对网络做模拟攻击测试,以发现系统中的安全漏洞和风险点,提前发现系统潜在的各种高危漏洞和安全威胁。

渗透测试和漏洞扫描的区别

1、概念不同

一般渗透测试是由人工完成的,而漏洞扫描因工作量大多由工具完成,现在市面上的漏洞扫描工具也是琳琅满目。

从定义中我们可以看出:
渗透测试除了定位漏洞外,还需要进一步尝试对漏洞进行攻击利用、提权以及维持对目标系统的控制权;而漏洞扫描只是清楚的展示出系统中存在的所有缺陷,但不会衡量这些缺陷对系统造成的影响。
漏洞扫描和渗透测试的另一不同之处在于:渗透测试的侵略性要强很多,它会试图使用各种技术手段攻击真实生产环境;相反,漏洞扫描只会以一种非侵略性的方式,仔细定位和量化系统的所有漏洞。

2、操作方式不同

就难度来说,渗透测试操作难度较大,范围也是有针对性的,且是需要人为参与。听说过漏洞自动化扫描,但你绝对听不到世界上有自动化渗透测试。渗透测试过程中,信息安全渗透人员使用大量的工具,同时需要非常丰富的专家进行测试。
渗透测试员不仅要针对应用层或网络层等进行测试,还需要出具完整的渗透测试报告。一般的报告主要包括以下内容:渗透测试过程中发现可被利用的漏洞、出现的原因、解决方法等详细文字化的描述。