英国渗透测试服务的搜索量在2023年至2025年间增长了35%以上,这源于勒索软件事件的增多、日趋严格的监管义务,以及一批保险公司在签发网络保险单前要求提供主动安全测试证据。尽管需求旺盛,人们对渗透测试究竟是什么、它与漏洞扫描有何不同,以及一次优质测试的费用是多少,仍然普遍感到困惑。

本指南全面介绍以下内容:渗透测试是什么以及不是什么、主要类型、流程如何运作、输出应包含哪些内容、英国哪些资质认证至关重要,以及2026年的实际费用范围。

要点速览

  • 渗透测试是由授权测试人员模拟的攻击,使用与真实攻击者相同的技术。它与漏洞扫描不同,漏洞扫描是自动化的,无法将漏洞串联起来或评估真实影响。
  • 测试人员将多个漏洞串联起来以证明实际影响,而不仅仅列出单个问题。这正是该方法论的独特之处和价值所在。
  • 在英国,PCI DSS规定必须进行年度渗透测试;UK GDPR第32条、ISO 27001和NCSC指南均将定期渗透测试视为具备适当技术控制的证据。
  • 对于CREST认证提供商,请查找CRT(Web应用)、CCT App(Web应用)或CCT Inf(基础设施)资质。公共部门工作适用CHECK方案。

渗透测试是什么(以及不是什么)

渗透测试是针对特定目标进行的有组织、经授权的攻击模拟。测试人员使用与恶意攻击者相同的工具、技术和思维方式,但在双方约定的范围和交战规则内操作。目标是在真实攻击者行动之前,识别漏洞并证明其在现实世界中的可利用性。

漏洞扫描不是渗透测试。自动扫描器根据已知漏洞数据库检查系统并生成发现列表。它速度快、可重复,但无法基于上下文进行推理、串联发现结果、评估业务逻辑,也无法证明其发现的实际影响。许多组织将两者混为一谈,部分供应商故意模糊界限。如果供应商为"渗透测试"报价,但整个工作完全依赖工具运行而没有人工分析,您实际上是以高价购买了漏洞扫描。

这种区别在实践中至关重要。漏洞扫描可能会标记您的应用程序具有无账户锁定的登录表单。渗透测试则更进一步:测试人员尝试将此漏洞与用户名枚举弱点和可预测的会话令牌结合利用,以演示完整的账户接管链。这就是列举风险与证明风险的区别。

渗透测试的类型

**按知识层级划分。**测试通常被描述为黑盒、灰盒或白盒,指的是测试人员开始时获得的信息量:

  • 黑盒:测试人员在不了解目标任何先验知识的情况下开始,模拟已进行自主侦察的外部攻击者。最接近真实世界的攻击场景,但可能时间效率较低,因为测试人员会将参与时间花在(如应用程序映射等)您本可提供的任务上。
  • 灰盒:测试人员获得部分信息,通常是用户凭据和文档,但没有源代码或完整的架构图。Web应用测试中最常见的选择,因为它在真实性和效率之间取得平衡。
  • 白盒:测试人员拥有完全访问权限,包括源代码、架构文档和基础设施图。用于全面评估和合规驱动的代码审查。发现漏洞比例最高,但需要您团队做最多的准备工作。

**按目标类型划分。**常见类别包括:

  • 网络渗透测试:外部或内部基础设施、防火墙规则、VPN配置、横向移动机会
  • Web应用渗透测试:OWASP Top 10及以上,包括身份验证、会话管理、输入验证和业务逻辑
  • API渗透测试:REST和GraphQL端点、身份验证绕过、批量赋值、速率限制和数据暴露
  • 移动应用渗透测试:Android和iOS应用、不安全数据存储、证书固定绕过,以及通过移动层暴露的后端API问题
  • 社会工程学:网络钓鱼模拟、借口攻击和电话钓鱼(vishing),用于测试人为层面的安全
  • 物理渗透测试:尾随入侵、RFID克隆、访问控制绕过、针对物理场所

大多数英国企业从Web应用或网络测试开始,随着安全计划的成熟逐步扩大范围。

渗透测试流程

严格的渗透测试遵循已定义的方法论。CREST和PTES(渗透测试执行标准)框架均描述了类似的序列:

范围界定与交战规则

测试开始前,您与提供商就目标、测试类型、测试时间窗口(部分组织要求在非工作时间测试以避免影响生产环境)、测试途中发现严重问题时的上报程序,以及明确排除在范围外的内容达成一致。请以书面形式确认。授权信能保护双方。

侦察

测试人员通过被动手段(开源情报、证书透明度日志、揭示技术栈的招聘信息、泄露数据库中的凭据)和主动手段(DNS枚举、端口扫描、服务指纹识别)收集目标信息。黑盒测试中,此阶段可能占用参与时间的很大比例。

漏洞利用

测试人员尝试利用已识别的漏洞来获得初始访问权限或证明影响。这正是方法论与扫描不同之处:熟练的测试人员会尝试多条路径,当一条路径受阻时调整策略,并寻找低严重性问题的组合,这些组合叠加后能产生高影响的结果。

后渗透与漏洞链式利用

这是大多数供应商营销材料忽略的阶段。获得初始访问权限后,攻击者实际上能做什么?评估Web应用的测试人员可能会将XSS漏洞与CSRF弱点和可预测的会话标识符串联起来,以演示完整的账户接管。针对基础设施时,后渗透包括权限提升、横向移动,以及确定从初始立足点可以访问哪些数据或系统。

串联至关重要,因为它重新定义了风险。当您能够表明某个CVSS 5.5(中等)的发现与其他两个漏洞组合可用于窃取客户数据库时,单个发现就会引发截然不同的对话。

报告

测试人员记录所有发现,撰写报告,并在约定时间内提交(通常在测试完成后5至10个工作日内)。报告应包含的内容在下一节介绍。

优质渗透测试报告应包含哪些内容

专业渗透测试报告是您团队的工作文档,而非提供商的销售工具。它应包含:

**执行摘要。**对参与过程、整体风险状况、发现数量和严重性,以及最关键问题的非技术性概述。面向需要做出决策的董事会级别读者撰写,而非需要修复代码的开发人员。

**范围和方法论。**测试了什么内容、如何测试,以及任何限制(例如某些URL被排除,或测试仅限于工作时间)。

**按风险分级的发现。**每个漏洞均附有严重性评级。大多数英国专业提供商使用CVSS 3.1评分,同时附有考虑您特定环境的上下文风险评级。单独的CVSS评分可能造成误导;没有外部访问向量的7.5分发现与公开端点上的相同评分代表不同的风险。

**技术细节和复现步骤。**足够的信息让您的开发人员能够复现发现结果,理解为何可被利用,并确认其修复有效。这意味着:精确的请求和响应、使用的有效载荷、必要时的截图。

**修复指导。**针对每项发现的具体、可操作建议。不是"更新您的依赖项",而是"将库X从版本2.3.1升级到2.4.0,并删除UserController.php第247行的已弃用序列化调用。"

**复测声明。**确认是否包含复测,如包含,说明发现结果如何关闭。在测试人员确认之前,发现结果不视为已解决。

英国渗透测试合规要求

**PCI DSS。**任何处理、存储或传输持卡人数据的企业必须至少每年进行一次渗透测试,并在任何重大基础设施或应用程序变更后进行。PCI DSS v4.0于2024年3月成为唯一有效版本,其中包含对渗透测试范围和方法论的更新要求。这是强制性要求,而非建议。

**UK GDPR第32条。**要求组织实施适当的技术措施以确保与风险相符的安全性。渗透测试是证明您已主动评估技术控制措施是否有效的最直接方式。ICO在执法决定中已引用安全测试。

**ISO 27001。**附录A控制8.8涵盖技术漏洞管理,渗透测试是满足此控制的标准方法。如果您正在争取ISO 27001认证,审计师将期望看到测试证据。

**Cyber Essentials Plus。**英国政府Cyber Essentials计划的更高层级包括现场评估和漏洞扫描。虽然Cyber Essentials Plus不是渗透测试,但实现它并维持其建立的基准是合理的前提条件。

**NCSC指南。**国家网络安全中心在其"网络安全10步"框架中推荐渗透测试,特别是在"漏洞管理"和"网络安全"步骤下。

CREST资质及其重要性

CREST是英国渗透测试公司和个人测试人员的主要认证机构。CREST注册提供商就其流程、方法论以及适当处理敏感数据的能力接受评估。个人测试人员可持有以下资质:

  • **CREST Registered Tester (CRT):**入门级认证,证明具备Web应用或基础设施测试的技术能力。
  • **CREST Certified Tester - Application (CCT App):**Web应用渗透测试的高级认证,需通过实践考试。
  • **CREST Certified Tester - Infrastructure (CCT Inf):**网络和基础设施测试的同等认证。

英国公共部门机构适用CHECK方案。CHECK是由NCSC管理的方案,要求渗透测试人员持有CHECK Team Member或CHECK Team Leader资质。如果您是政府部门、NHS机构或地方当局,您的提供商必须持有CHECK资质。

评估提供商时,请要求查看将参与您的工作的测试人员所持有的具体资质,而非公司最高级员工的资质。撰写报告并执行测试的人员才是真正重要的资质。

应该多久测试一次?

正确答案取决于您的风险状况,但实际最低要求是:

  • 对于处理个人数据或支付数据的任何互联网应用程序,至少每年进行一次
  • 在引入新功能、新身份验证流程或新集成的主要版本发布后
  • 在首次处理个人数据或支付数据的新产品、应用或服务上线前
  • 安全事件发生后,以了解攻击者是否留下了持久化机制或利用了尚未修复的漏洞
  • 风险状况发生变化时,例如合并、收购或用户基础大幅扩张后

英国渗透测试费用

参与类型典型费用范围备注
黑盒Web应用测试£2,000 - £8,000外部,不提供凭据
灰盒/白盒Web应用测试£5,000 - £15,000经身份验证的测试,可能包含源代码审查
API渗透测试£3,000 - £8,000REST/GraphQL,取决于端点数量
基础设施渗透测试(外部)£3,000 - £10,000边界,暴露的服务
基础设施渗透测试(内部)£4,000 - £12,000模拟内部人员或入侵后场景
红队演练£15,000 - £50,000+完整对抗模拟,多向量
社会工程学参与£2,000 - £6,000网络钓鱼、电话钓鱼或组合活动

费用反映2026年英国市场定价。报价明显低于这些范围通常意味着手动分析极少的自动扫描。

Mecanik渗透测试服务 涵盖英国企业的Web应用、API和基础设施测试,采用PTES和OWASP方法论,提供概念验证漏洞利用和优先级修复报告。

核心要点

  • 渗透测试是手动的、经授权的攻击模拟,与自动漏洞扫描有本质区别。
  • 测试人员将多个漏洞串联起来以证明实际影响,而非孤立地列举单个问题。
  • 英国合规义务(PCI DSS、UK GDPR第32条、ISO 27001、NCSC指南)均将定期渗透测试视为基本安全实践。
  • 优质报告包含按风险分级的发现、技术复现步骤、附上下文评级的CVSS评分,以及针对每个问题的具体修复指导。
  • 在资质方面,请查找参与您工作的个人测试人员的CREST CRT、CCT App或CCT Inf认证。公共部门工作需要CHECK方案资质。
  • 至少每年测试一次,主要版本发布后以及任何处理个人或支付数据的新服务上线前均需测试。

常见问题解答(FAQ)

渗透测试和漏洞扫描有什么区别? 漏洞扫描使用自动化工具根据已知问题数据库检查系统。渗透测试涉及对目标进行推理、串联漏洞并证明实际可利用性的人工测试人员。扫描速度快且有助于建立基准,但不能替代手动测试。

渗透测试需要多长时间? 针对中等复杂度网站的Web应用测试通常需要三到五天的测试时间。大型应用、包含源代码审查的白盒参与,或涵盖多台主机的基础设施测试需要更长时间。范围界定对话和报告撰写会增加额外时间,因此请安排从参与开始到最终报告交付约两到四周的时间。

渗透测试前需要告知托管服务商吗? 请查看您的托管或云服务提供商的服务条款。AWS、Azure和GCP均允许在无需事先通知的情况下对您自己的资源进行渗透测试(适用于大多数服务,部分限制除外)。共享托管服务商通常需要提前通知。您的渗透测试提供商应在范围界定阶段确认这一点。

如果测试人员在测试过程中发现严重漏洞会怎样? 您的交战规则应定义严重发现的上报程序。信誉良好的测试人员会立即联系您,而不是等待报告。然后您决定是否暂停测试进行修复、在记录该发现的情况下继续,还是调整范围。

渗透测试会导致停机吗? 大多数测试技术是非破坏性的,不会导致停机。拒绝服务测试需要明确协议,通常在非工作时间进行。测试人员应在尝试任何可能造成干扰的技术前讨论其风险。

如何验证CREST渗透测试人员的资质? CREST在crest-approved.org上维护注册公司和认证个人的公开注册表。按公司或测试人员姓名搜索以验证状态。对于CHECK,NCSC会发布CHECK批准服务提供商的名单。