渗透测试/攻击

1．按信息获取方式分类

从渗透的前期资料准备和信息获得来看，渗透测试/攻击可分为以下3类。

1）黑盒（Black Box）渗透

黑盒（Black Box）渗透测试通常是从目标网络的外部进行渗透模拟的，这意味着，除了被测试目标的已知公开信息外，不提供任何其他信息。渗透者完全处于对目标网络系统一无所知的状态，只能通过Web、E-mail等网络对外公开提供的各种服务器，进行扫描探测，从而获得公开的信息，以决定渗透的方案与步骤。

通常来说，墨盒渗透测试用于模拟来自网络外部的攻击行为。

2）白盒（White Box）渗透

白盒（White Box）渗透测试与黑盒渗透测试相反，渗透测试者可以通过正常渠道，向请求测试的机构获得目标网络系统的各种资料，包括网络拓扑结构、用户账号、操作系统、服务器类型、网络设备、代码片断等信息。

渗透者可从目标网络系统外部或内部两个地点，进行渗透模拟测试，但是通常而言，这类测试是模拟网络内部人员的越权操作。

3）灰盒（Gray Box）渗透

灰盒（Gray Box）渗透测试介于以上两者之间。