原创 | 我眼中的渗透测试！

黑客的攻击没有时间、地点、目标、工具、手法的限制，为了达到目的，可以不择手段、持续不断、用尽任何可能的方法（APT攻击）。

渗透测试必须在有限的时间内(一般是 7~14 日)，在双方（委托者与测试者，即甲方与乙方）确定的目标范围、执行的时间（例如晚上 8：00至凌晨 6：00）、攻击的手法（如可否进行社工）、认可的工具等限制下进行，故渗透测试无法完全反映黑客的攻击强度，就连攻击的手法也大有不同。

例如，渗透测试大多不会进行社交工程、阻断服务(Denial-of-service，DoS) 攻击，不会（也不该）对受攻击系统注入木马或留下后门，甚至发现与受测目标有关的卫星系统漏洞，若该系统不在测试范围内，则必须征得甲方同意才可以利用这项漏洞。因为测试操作有所限制，所以不要期望渗透测试可以帮我们找到所有的系统漏洞，除非甲方自身持续进行渗透测试。

就我个人看来，渗透测试应该：

• 是“健康检查”，而不是攻击：渗透测试是为了提升甲方系统的安全性，尽早挖掘现存的漏洞，作为改善的依据，而进行渗透测试必须兼顾系统服务的持续进行，要事先拟妥因进行测试造成系统停止服务的处理对策。

• 是稽查，而不是窃取：渗透测试可以印证甲方在信息安全政策方面的落实程度，是一种稽查行为，渗透测试结束后，相关信息必须完全交给甲方，作为甲方持续改进信息安全的策略参考，除非经甲方同意，否则乙方不能私自留存副本。

• 防护是测试的目的：渗透测试发现的漏洞必须提出相应的防护对策，以供甲方参考。

渗透测试是概念验证（ProofofConcept，POC），只要证明有弱点、漏洞存在即可，不一定要对目标系统进行致命的攻击，就这一点来看渗透测试对系统的危害比黑客攻击来得轻，渗透的深度也来得浅一些。

未完待续......

原文始发于微信公众号（衡阳信安）：原创 | 我眼中的渗透测试！