黑盒测试：究竟是在测试渗透测试员，还是测试目标？

Mike Perez //

BHIS 通过博客、HackNaked.TV、培训以及网络研讨会等多种方式进行大量对外交流。在交流过程中，有时会遇到从未进行过渗透测试的客户，或者有趣的是，已经进行过渗透测试但对结果不满意的客户。

在探究这些不满意的结果时，许多经历似乎有两个共同点：黑盒测试和/或更根本的期望不匹配。

黑盒测试确实有其适用场景。例如：

• 您的新应用程序在开发周期中已经融入了安全审查。
• 您自己进行内部渗透测试。
• 您的网站最近以灰盒或水晶盒方式进行了渗透测试。
• 您正在测试您的安全运营中心（SOC）或事件响应团队是否真的在升级问题。

然而，如果以上情况均不适用，而您决定首次渗透测试采用黑盒测试，那么实际上您是在测试渗透测试员，而不是测试目标。

测试的合作程度越高，我们花在测试应用程序或目标上的时间就越多。测试越偏向黑盒，渗透测试员花在发现、猜测和探索上的时间就越多。渗透测试员喜欢挑战，但这里涉及到第二个问题：期望不匹配。问题是，当渗透测试员由于专注于应用程序的某个区域而错过问题时，客户可能并不真正担心该区域。例如，在一个包含多个主机的网络渗透测试中，渗透测试员不会知道要专注于对客户更有价值或对组织风险更高的目标。

黑盒测试中另一个经常出现的与期望不匹配相关的点是报告中的经验教训。大多数测试项目为期一周。当目标列表或应用程序没有获得应有的完整范围时，测试结果可能无法代表应用程序/目标集在一年中其他360天的实际风险。客户支付费用是为了让我们帮助他们改进，并将可能被真实攻击者利用的问题暴露出来。充分利用这段宝贵的时间来帮助客户改进非常重要。一个有决心的攻击者会花费所需的时间——为什么要通过将年度测试视为信息匮乏的对抗性参与来给真实攻击者优势呢？

对于许多客户，我们建议进行混合测试——第一阶段为黑盒测试，时间严格限定，之后立即与客户开会获取额外信息，以便在第二阶段进行合作测试。这似乎是两全其美的方法，并能生成结合两种测试风格的报告。

因此，如果您正在考虑下一次测试采用黑盒测试，请务必提前决定——您实际上在测试什么？一家信誉良好的渗透测试公司将帮助您根据目标定义范围项目，并提供最大化测试时间和流程的技巧。

准备好了解更多？
通过 Antisyphon 的实惠课程提升您的技能！
支持随付随训的培训
提供直播/虚拟和点播形式