Question

渗透测试的渗透测试

Answer 1

渗透测试 (penetration test)并没有一个标准的定义，国外一些安全组织达成共识的通用说法是：渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。
换句话来说，渗透测试是指渗透人员在不同的位置（比如从内网、从外网等位置）利用各种手段对某个特定网络进行测试，以期发现和挖掘系统中存在的漏洞，然后输出渗透测试报告，并提交给网络所有者。网络所有者根据渗透人员提供的渗透测试报告，可以清晰知晓系统中存在的安全隐患和问题。
我们认为渗透测试还具有的两个显著特点是：渗透测试是一个渐进的并且逐步深入的过程。渗透测试是选择不影响业务系统正常运行的攻击方法进行的测试。
作为网络安全防范的一种新技术，对于网络安全组织具有实际应用价值。但要找到一家合适的公司实施渗透测试并不容易。

Answer 2

渗透测试，是测试计算机系统、网络，发现攻击者是不是利用安全漏洞。可以通过软件应用自动化或者手动进行执行，但不管是哪种方式，都应在测试前收集相关目标信息，识别可能的入口点，并出报告结果。
渗透测试是对计算机系统的授权模拟攻击，用于评估系统的安全性。执行测试以识别两个缺点，包括未授权方访问系统的特征和数据的可能性，以及优点，使得能够完成完整的风险评估。该过程通常识别目标系统和特定目标，然后审查可用信息，并采取各种手段来实现该目标。渗透测试目标可以是白盒和黑盒，灰盒穿透测试是二者的结合体。渗透测试可以帮助确定一个系统是否容易受到攻击，如果防御足够，以及测试是否打败了哪些防御。渗透测试发现的安全问题应该报告给系统所有者。渗透测试报告也可以评估对组织的潜在影响，并提出降低风险的对策。