黑盒测试：你是在测试渗透测试员，还是测试目标？

Mike Perez //

BHIS 通过博客、HackNaked.TV、培训尤其是网络研讨会开展大量外联活动。在外联过程中，有时会遇到从未进行过渗透测试的客户，或者有趣的是，进行过渗透测试但对结果不满意的客户。

在探究客户不满的原因时，许多经历似乎有两个共同点：黑盒测试和/或更根本的期望不匹配。

黑盒测试确实有其用武之地。例如：

• 你的新应用程序在开发周期中融入了安全审查。
• 你执行自己的内部渗透测试。
• 你的站点最近以灰盒或水晶盒方式进行了渗透测试。
• 你正在测试你的SOC或事件响应团队是否真的在升级问题。

然而，如果以上情况均不适用，而你决定首次渗透测试就采用黑盒测试，那么你实际上是在测试渗透测试员，而不是测试目标。

测试的合作程度越高，我们花在测试应用程序或目标上的时间就越多。测试越接近黑盒，渗透测试员花在发现、猜测和探索上的时间就越多。渗透测试员喜欢挑战，但这里就涉及到第二个问题：期望不匹配。问题是，当渗透测试员由于专注于客户并不真正担心的应用程序区域而错过问题时。在有众多主机的网络渗透测试示例中，渗透测试员不会知道要专注于对客户可能更有价值或对组织构成更大风险的目标。

黑盒测试中经常出现的另一个关于期望不匹配的点是报告中得出的经验教训。大多数项目为期一周。当目标列表或应用程序没有获得应有的完整范围时，测试结果可能无法代表应用程序/目标集在一年中其他360天的实际风险。客户付费是为了让我们帮助他们改进，并将可能被真实攻击者利用的问题暴露出来。有效利用宝贵时间来帮助客户改进至关重要。坚定的攻击者会花费所需的时间——为什么要通过将年度测试视为信息匮乏的对抗性活动来给真实攻击者优势？

对于许多客户，我们建议进行混合测试——第一阶段是在非常明确的时间限制内进行黑盒测试，随后立即与客户开会，获取额外信息，以便在第二阶段进行合作测试。这似乎是两全其美的方法，并生成一份结合两种测试风格的报告。

因此，如果你正在考虑下一次项目采用黑盒测试，请务必提前决定——你实际上在测试什么？一家信誉良好的渗透测试公司将帮助你根据目标定义范围项目，并提供最大化测试时间和流程的技巧。

准备好了解更多？
通过 Antisyphon 的实惠课程提升你的技能！
随你付得起多少就付多少的培训
提供直播/虚拟和点播形式