Las pruebas de penetración incluyen principalmente pruebas de software y pruebas de penetración.
1. Diferentes objetos de prueba
Pruebas de software: Las principales pruebas son programas, datos y documentos.
Pruebas de penetración: los objetos son principalmente dispositivos de red, sistemas operativos host, sistemas de bases de datos y sistemas de aplicaciones.
2. El contenido de la prueba es diferente
Pruebas de software: el contenido principal del trabajo es la verificación y confirmación, encontrar defectos o deficiencias en el software y luego organizar los problemas encontrados en informes y analizar la calidad del software. La verificación es una serie de actividades para garantizar que el software implementa correctamente algunas funciones específicas; la confirmación es una serie de actividades y procesos, cuyo propósito es verificar la corrección lógica del software en un entorno externo dado, es decir, garantizar que el software hace lo que espera.
Pruebas de penetración: incluye principalmente pruebas de caja negra, pruebas de caja blanca y pruebas de caja gris. Las tareas principales incluyen: recopilación de información, escaneo de puertos, escalada de privilegios, ataque de desbordamiento remoto, prueba de aplicaciones web, ataque de inyección SQL, detección de campos ocultos en la página, ataque entre sitios, utilización de cookies, inspección de programas de puerta trasera, configuración incorrecta de software de terceros, etc.
3. Diferentes principios de prueba
prueba de software:
①La prueba debe realizarse lo antes posible;
② Las pruebas de software deben ser realizadas por un tercero;
③ Se deben considerar las entradas legales e ilegales y varias condiciones límite al diseñar casos de prueba;
④ Se debe prestar total atención al fenómeno de agrupamiento en la prueba;
⑤ Realizar un proceso de confirmación del resultado erróneo;
⑥ Desarrollar un plan de prueba estricto;
⑦ Guarde correctamente el plan de prueba, los casos de prueba, las estadísticas de error y el informe de análisis final.
Pruebas de penetración:
① El tiempo de verificación de la prueba se lleva a cabo en el momento en que el volumen de negocios es el más pequeño;
② Asegúrese de realizar una copia de seguridad de los datos relevantes antes de ejecutar la prueba;
③Comunicar y confirmar todas las pruebas con el personal de mantenimiento antes de la ejecución;
④ Detenga la prueba inmediatamente y restablezca el sistema a tiempo cuando ocurra una situación anormal durante la prueba;
⑤ Llevar a cabo un entorno espejo completo para el sistema comercial original y realizar pruebas de penetración en el entorno espejo.
En general, las pruebas de software se tratan más de probar la usabilidad del software desde la perspectiva de los usuarios normales, mientras que las pruebas de penetración se tratan de probar la seguridad del sistema desde la perspectiva de los atacantes extremos.