軟件測試和滲透測試有什么區別

軟件測試下的定義是使用人工或自動的手段來運行或測定某個軟件系統的過程，其目的在于檢驗它是否滿足規定的需求或弄清預期結果與實際結果之間的差別，包含但不限于安全性、用戶體驗、邏輯性、操作性等等。但滲透測試考慮的是以黑客方法，從單點上找到利用途徑，證明你有問題，幫助客戶提高認識，也能解決急迫的一些問題。

滲透測試包括以下這些階段：

• 情報的搜集階段：情報是指目標網絡，服務器，應用程序等的所有信息,如果是黑盒測試，信息搜集階段是最重要的一個階段，一般通過被動掃描或主動掃描兩種技術。

• 威脅建模階段：如果把滲透測試看做一場對抗賽，那么威脅建模就相當于指定策略。

• 漏洞分析階段：漏洞分析階段是從目標網絡中發現漏洞的過程。這個階段我們會根據之前搜集的目標網絡的操作系統，開放端口及服務程序等信息，查找和分析目標網絡中的漏洞。這個階段如果全靠人手工進行，那么會非常累。不過Kali Linux 2提供了大量的網絡和應用漏洞評估工具。不光是網絡的漏洞，還要考慮人的因素長時間研究目標人員的心理，以便對其實施欺騙，從而達到滲透目標。

• 漏洞利用階段：找到目標網絡的漏洞后，就可以對其進行測試了。在漏洞利用階段我們關注的重點是，如果繞過網絡的安全機制來控制目標網絡或訪問目標資源。如果我們在漏洞分析階段順利完成任務，那么我們就可以在此階段準確，順利的進行。漏洞利用階段的滲透測試應該有精確的范圍。這個階段我們主要的目標就是獲取我們之前評估的重要的資產。進行滲透測試時還需要考慮成功的概率和對目標網絡造成的最大破壞。

• 后滲透攻擊階段：后滲透攻擊階段和漏洞利用階段連接十分密切，作為滲透測試人員，必須盡可能地將目標網絡滲透后可能產生的結果模擬出來。

• 報告階段：報告階段是滲透測試最后一個階段。要簡單，直接且盡量避免大量專業術語向客戶匯報測試目標網絡出現的問題，以及可能產生的風險。這份報告應該包括目標網絡最重要的威脅，使用滲透數據產生的表格和圖標，以及對目標網絡存在問題的修復方案，當前安全機制的改進建議等。

回答所涉及的環境：聯想天逸510S、Windows 10。