黑箱工具測試

黑箱工具測試即使用軟體進行檢測，多達70 ％ 的網站有漏洞，嚴重可能導致公司機密數據被盜，如信用卡內容和客戶名單，安資捷所採用 「Acunetix」 網路漏洞掃描軟體檢測您計算機網路環境安全性，「Acunetix」可以識別出比傳統的掃描技術更多的安全漏洞而且誤報率極低， Acunetix 控制傳感技術結合黑匣子掃描技術將反饋傳感器置於源代碼中，當源代碼正在執行，不僅可以獲得相應的反饋。AcuSensor 技術的優勢，這些優勢包括：更快的尋找和定位一個漏洞，同時提供該漏洞的詳細訊息，如源代碼行數，堆棧跟踪和受影響的SQL查詢，還檢查Web應用的配置問題，如錯誤的Web.config或php,ini文件;檢測有更多的SQL injection的弱點不依靠網路服務器的錯誤訊息;... 等等。

相關產品資訊： Acunetix

滲透測試目的

黑箱工具測試目地與滲透測試在大多數情況是相同的，是屬於秘密的測試，多由委外資安公司資安顧問人員或者內部相關技術人員扮演惡意攻擊者，攻擊系統等層面的安全性。
最終目的：經由滲透來驗證安全性，因此這種測試除了參與人員外通常不會發出事前的告知。

然而滲透測試並沒有作業標準的定義，國外部分安全組織達成共識說法是：滲透測試是通過模擬惡意黑客的攻擊手法，進行評估計算機網絡系統安全的一種評估方法。滲透過程涵蓋了系統的任何弱點、技術缺陷或漏洞的主動分析，分析是從一個攻擊者可能存在的位置來進行的，並且從這個位置有條件主動利用安全漏洞。

滲透測試，所能夠證明的是現有運作的系統是可以被攻擊。並非是針對每一個漏洞進行記錄，頂多紀錄那些在測試中被利用的漏洞。所以滲透測試可以推斷出整體進行的安全防護問題。

執行及管控良好的滲透測試可以證明各種內部原因所產生的不安全設定與系統配置，沒有資訊安全專責單位的企業需要有說服力的第三方觀點來說明不充分的安全配置可能導致的重大損失。而滲透測試就是要將可能的損失以強而有力並生動的證明出來，要顯現出企業的電腦被攻擊的事實。

滲透測試仍然是發現網絡安全薄弱環節的重要方法，這需要花費大量的時間和努力，如果沒有指定出如何使用測試結果的策略，那麼進行測試是沒有意義的。只有通過確認測試範圍、驗證結果、運用指標對它們的嚴重性進行分類、清楚簡明地報告發現結果，才能真正反映出公司當前的網絡安全風險狀況。

黑箱檢測的優勢如下：

1. 誤判率較低：
2. 可檢測網頁伺服器弱點
   
3. 不需提供任何程式碼
   
4. 可部分與外部防禦設備整合

滲透測試與弱點掃描差別

滲透測試    必須由專業資安專家費數周才能完成，期間需要大量的人力 (Code Reivew) 成本。執行一次標準的滲透測試費用較高，滲透測試最好每年執行一次，也因攻擊手法不斷創新，即便幾年前做過滲透測試，並不代表現在可以高枕無憂。

弱點掃描   是利用工具自動化快速掃描大量主機，再者，因為弱點和漏洞不斷的出現，弱點掃描大約3個月到半年執行一次，比較不理想原因是，部分廠商因成本考量與技術不足，以滲透測試為名，行弱點掃描之實，讓許多企業以為誤以為做過滲透測試，其實只是找到一些弱點而已。

Dr. 安 觀點：