渗透测试是完全模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全进行深入探测,发现系统最脆弱的环节。渗透测试能够直观的让管理人员知道自己网络所面临的问题。
安全工具自动测试:借助系统和应用扫描工具对站点的系统层和应用层进行全面的安全扫描以此种方法来检测目标系统中是否包含已知的安全问题。
测试结果验证:人工筛选自动化检测结果中的误报,同时还要对正确告警的结果进行验证和再利用,以确认其危险程度与自动扫描结果一致。
页面信息人工甄别:针对经过精心构造的个性化页面,人工对其返回内容进行判断和手动测试,以更加准确的判断页面信息。
JavaScript测试:随着WEB2.0的兴起,JavaScript被很多站点大量使用,由测试人员对自动化扫描工具无法解析的、含有JavaScript脚本的页面进行二次测试,以检测其安全性。
精细化测试:从本地构造恶意数据并提交测试的页面,在手动测试过程中进行深度测试。
业务逻辑安全测试:对已有业务逻辑进行分析判断,然后再结合试人员的经验对业务逻辑安全性进行必要的检测。