安全测试简单介绍

本篇主要是讲解安全测试

因我公司今年一年都在做安全测试，已把其例为必测试类型。下面就简单介绍：

一、安全测试分类，主要分为SQL文本注入和跨脚本注入二种方式。

二、什么叫渗透测试，渗透测试最简单直接的解释就是：完全站在攻击者角度对目标系统进行的安全性测试过程。

三、进行渗透测试的目的，了解当前系统的安全性、了解攻击者可能利用的途径。它能够让管理人员非常直观的了解当前系统所面临的问题。为什么说叫直观呢？就像Mitnick书里面提到的那样，安全管理（在这里我们改一下，改成安全评估工作）需要做到面面俱到才算成功，而一位黑客（渗透测试）只要能通过一点进入系统进行破坏，他就算是很成功的了。

四、渗透测试是否等同于风险评估，不是，你可以暂时理解成渗透测试属于风险评估的一部分。事实上，风险评估远比渗透测试复杂的多，它除渗透测试外还要加上资产识别，风险分析，除此之外，也还包括了人工审查以及后期的优化部分（可选）。

五、透测试涉及哪些内容，技术层面主要包括网络设备，主机，数据库，应用系统。另外可以考虑加入社会工程学（入侵的艺术/THE ART OF INTRUSION）。

六、工具，有商业的，有开源的，目前我正在用的是Acunetix Web Vulnerability Scanner和DSQLTools