渗透测试

Q: 渗透测试 是什么?

对系统、应用或人员进行的经授权的模拟网络攻击,在真实攻击者之前发现可被利用的弱点。 它属于网络安全的 防御与运营 分类。

Q: 如何防御 渗透测试?

针对 渗透测试 的防御通常结合技术控制与运营实践,详见上方完整定义。

Q: 渗透测试 还有哪些其他名称?

常见的别称包括: 渗透, 道德黑客。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

渗透测试是什么?

渗透测试对系统、应用或人员进行的经授权的模拟网络攻击,在真实攻击者之前发现可被利用的弱点。

渗透测试是一种以目标为导向的安全评估,由具备资质的测试人员使用与真实攻击者相同的工具和手法尝试突破组织的防御。每次测试都具有明确的范围、交战规则和书面授权,目标可能涵盖网络、Web 与移动应用、云工作负载、API、物理场所,或通过社会工程针对员工。与自动化扫描不同,渗透测试通过将多个漏洞串联起来,证明其可被利用并展示业务影响,例如数据泄露或域控接管。测试结果用于指导修复、验证现有控制措施的有效性,并支持 PCI DSS、HIPAA、ISO 27001 等合规要求。

● 示例

01
外部网络渗透测试通过暴露的 VPN 设备获得初始访问,并横向移动至域管理员。
02
Web 应用渗透测试将 IDOR 与持久型 XSS 组合,接管管理员账号。

● 常见问题

渗透测试是什么?

对系统、应用或人员进行的经授权的模拟网络攻击,在真实攻击者之前发现可被利用的弱点。它属于网络安全的防御与运营分类。

渗透测试是什么意思?

对系统、应用或人员进行的经授权的模拟网络攻击,在真实攻击者之前发现可被利用的弱点。

如何防御渗透测试?

针对渗透测试的防御通常结合技术控制与运营实践,详见上方完整定义。

渗透测试还有哪些其他名称?

常见的别称包括: 渗透, 道德黑客。

渗透测试

渗透测试是什么?

● 示例

● 常见问题

● 相关术语

● 另见

渗透测试 是什么?

● 示例

● 常见问题

● 相关术语

● 另见

渗透测试是什么?