2)滲透測試

滲透測試是一種模擬攻擊者進行攻擊的測試方法，從攻擊的角度來測試軟件系統(tǒng)，并評估系統(tǒng)安全性的一種測試方法。與一般軟件測試不同，滲透測試采用攻擊者思想，從“逆向”的角度出發(fā)，測試軟件系統(tǒng)的安全性，其價值在于可以測試軟件在實際系統(tǒng)中運行時的安全狀況。

與“正向”的安全測試方法相比，滲透測試的優(yōu)點是發(fā)掘出來的安全問題都是真實的， 也是較為嚴重的，能夠被攻擊者真實利用的。它的主要缺點是滲透測試和測試人員的知識、 經(jīng)驗、素質等因素密切相關，滲透測試受測試方法和路徑所限，只能到達有限的測試點，對軟件系統(tǒng)安全關鍵點的覆蓋率較低。

近年來，滲透測試被廣泛使用，也經(jīng)常被軟件開發(fā)企業(yè)用來測試其軟件系統(tǒng)的安全性， 通過在實際網(wǎng)絡環(huán)境中利用各種測試軟件和腳本對目標系統(tǒng)發(fā)起模擬攻擊，以驗證是否可以找到危害目標系統(tǒng)安全性的途徑。

由于滲透測試具有模擬攻擊者行為這樣一特性，而攻擊者的行為沒有一成不變的固定模式，所以滲透測試對不同用戶的需求，切人的角度、方法各不相同，沒有統(tǒng)一的測試步驟和操作流程，測試過程中漏洞的發(fā)現(xiàn)和利用嘗試取決于測試者的個人知識、經(jīng)驗和愛好，下圖給出了一個滲透測試的基本流程。滲透測試應當經(jīng)過方案制定、信息收集、（高級／低級）漏洞利用、完成滲透測試報告等步驟。