01

白盒测试

WHITE BOX TESTING

它是按照程序内部的结构测试程序,通过测试来检测产品内部动作是否按照设计规格说明书的规定正常进行,检验程序中的每条通路是否都能按预定要求正确工作。

02

黑盒测试

BLACK BOX TESTING

在对应用系统一无所知的情况下,通过特定的安全技术对应用系统进行模糊测试。

03

灰盒测试

GREY BOX TESTING

灰盒测试关注输出对于输入的正确性,同时也关注内部表现,但这种关注不象白盒那样详细、完整,只是通过一些表征性的现象、事件、标志来判断内部的运行状态。

口令爆破

利用hydra等安全工具对系统的相关服务进行口令脆弱性进行安全测试

漏洞利用

使用nessus、AWVS等商业漏洞扫描工具对应用系统进行扫描,发现相关漏洞,并进一步扩展测试,评估影响

信息收集

基于OSINT Framework对应用系统从域名、IP、whois、组织架构等方面进行全面的信息收集

服务探测

利用nmap、nessus等工具对目标进行安全探测

溢出攻击

通过使用nessus等安全工具对系统未及时更新补丁的服务进行探测性的溢出测试

后渗透攻击

在获取主机权限后,利用metasploit、cobaltstrike等工具,在授权的情况下对目标系统进一部扩展安全测试

标准性

工作技术方案的设计和具体实施原则上应依据国内和国外的相关标准进行

规范性

工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制

可控性

测试过程和所使用的工具具有可控性

最小影响

测试工作做好周全的计划,尽最大可能不影响系统和网络的正常运行,确保业务的正常提供

保密性

签订保密要求和员工良好的保密意识和良好的保密测试规范

沟通确认

时间选择

控制范围

策略选择

备份恢复