並非所有滲透測試都相同。滲透測試的類型沿兩個維度不同:測試人員事先對你的系統了解多少(black box、white box 或 grey box),以及環境的哪一部分納入範圍(Web 應用、API、網路邊界等)。把這些選對,才能讓測試既划算又真正有用,而不是走個過場。本指南解析各種選項,協助你做出明智的選擇。

重點(TL;DR)

  • black box、white box 和 grey box 描述測試人員在開始時掌握多少資訊;對多數專案而言,grey box 最常見也最划算
  • 依範圍劃分的測試類型包括外部網路、內部網路、Web 應用、API、無線和社會工程
  • 合適的組合取決於你要保護什麼、你的合規需求以及你的預算
  • 無論哪種類型,好的測試都遵循 PTES 或 OWASP 等公認方法論,並交付依優先順序排序、可利用的發現

依知識水準劃分的滲透測試類型

這關乎測試人員在開始前被告知多少,從而模擬不同類型的攻擊者。

黑箱測試(Black Box)

測試人員幾乎不獲得或完全不獲得事先資訊,只有真實外部攻擊者會擁有的東西(例如一個網域名稱)。他們從零開始自行偵察。

  • 模擬: 沒有內部知識的外部攻擊者。
  • 優點: 真實呈現外部暴露面;測試投機型攻擊者會發現的內容。
  • 缺點: 花在偵察上的時間可能意味著用於測試更深層問題的時間更少,一些漏洞可能僅因時間不足而被遺漏,而非風險不高。
  • 最適合: 評估真實的外部暴露面。

白箱測試(White Box)

測試人員獲得完整資訊:架構圖、原始碼、憑證和組態。

  • 模擬: 有知識的內部人員,或假設最壞情況攻擊者知識的徹底稽核。
  • 優點: 覆蓋最為徹底;時間用於發現問題,而非了解環境;能發現深層邏輯和程式碼層級的缺陷。
  • 缺點: 需要更多準備和資訊共享;對盲目外部攻擊者的代表性較低。
  • 最適合: 最大化覆蓋,以及徹底性勝過真實性的關鍵系統。

灰箱測試(Grey Box)

測試人員獲得部分資訊,例如標準使用者憑證和高層概觀,但不包括完整的內部細節。

  • 模擬: 已取得立足點的攻擊者,或惡意或遭入侵的一般使用者。
  • 優點: 務實的平衡;有效利用時間,同時仍測試現實的攻擊路徑,如從一般帳戶進行權限提升。
  • 缺點: 既非完全盲目也非完全知情的視角,不過對多數目的而言,這種取捨反而是優勢。
  • 最適合: 多數專案。grey box 是常見的預設選擇,因為它兼顧真實性、覆蓋度和成本。

依範圍劃分的測試

與知識水準無關,你要選擇哪些內容納入範圍。常見類型包括:

  • 外部網路測試: 面向網際網路的邊界:公用伺服器、防火牆、暴露的服務。
  • 內部網路測試: 從網路內部出發,模擬已在內部的攻擊者(透過釣魚、惡意裝置或惡意內部人員),並測試橫向移動。
  • Web 應用測試: 對特定 Web 應用的邏輯、認證和輸入進行深入測試,通常與 OWASP 方法論對齊。
  • API 測試: 針對 API 的專項測試,API 是不斷增長的攻擊面,且往往比 Web 前端保護更弱。
  • 無線測試: Wi-Fi 網路及其與敏感系統的隔離。
  • 社會工程: 透過釣魚和藉口類手法測試人員層面(在約定的交戰規則下)。

如何選擇合適的測試

  • 保護某個特定應用? grey box 的 Web 應用(及 API)測試通常性價比最高。
  • 擔心外部暴露面? 從外部網路測試開始,採用 black box 或 grey box。
  • 擔心內部風險或隔離能力? 選擇內部網路測試以評估橫向移動。
  • 由合規驅動? 查看你的框架或客戶合約要求;有些會規定範圍或獨立性。
  • 預算有限? grey box 把精力集中在要緊之處,避免把時間浪費在純偵察上。

無論選擇什麼,都要堅持採用公認的方法論。專業測試遵循 Penetration Testing Execution Standard (PTES)OWASP 等標準,超越自動掃描去串聯漏洞並嘗試真實攻擊路徑,並交付概念驗證(proof-of-concept)利用以及依優先順序排序的修復路線圖。

關鍵重點

  • 依知識水準劃分的滲透測試主要類型是 black、white 和 grey box;grey box 是多數需求下務實的預設選擇。
  • 範圍(外部、內部、Web 應用、API、無線、社會工程)是與知識水準相獨立的選擇。
  • 讓測試契合你要保護的對象、你的合規需求和你的預算。
  • 好的測試遵循 PTES/OWASP,交付依優先順序排序、可利用的發現,而不僅是一份掃描器報告。

取得契合你需求的測試

在專家意見的協助下,選擇範圍和知識水準會更容易。滲透測試服務 在 Web 應用、API 和網路邊界上遵循 PTES 和 OWASP 方法論,提供概念驗證利用和依優先順序排序的修復路線圖。如果你要委託第一次測試,在英國進行滲透測試可以期待什麼 這篇指南將帶你了解流程、時間軸和費用。

常見問題(FAQ)

black box、white box 和 grey box 滲透測試有什麼區別? 區別在於測試人員事先知道多少。black box 意味著幾乎沒有或完全沒有事先資訊(如外部攻擊者),white box 意味著對程式碼和組態的完全存取(最大徹底性),grey box 意味著部分資訊,例如一個使用者登入(務實的折衷)。

我需要哪種類型的滲透測試? 對多數應用而言,grey box 的 Web 應用和 API 測試在真實性、覆蓋度和成本之間提供最佳平衡。對外部暴露面,做外部網路測試;對內部風險,做內部測試。正確答案取決於你要保護什麼以及你的合規要求。

grey box 測試比 black box 更好嗎? 並非絕對,但它是最常見的預設選擇,因為它有效利用測試時間,同時仍演練權限提升等現實攻擊路徑。black box 對純外部暴露面更真實;white box 整體上更徹底。

外部和內部滲透測試有什麼區別? 外部測試像外部攻擊者那樣瞄準你面向網際網路的邊界。內部測試模擬已在網路內部的攻擊者,聚焦橫向移動以及一個立足點能擴散到多遠。

滲透測試是否遵循標準方法論? 應當如此。專業測試遵循 Penetration Testing Execution Standard (PTES) 和 OWASP 等公認標準,從而確保一致、可重複的覆蓋,而非臨時掃描,並產出依優先順序排序、可利用的發現。