滲透測試是在具有安全授權(quán)的情況下，模擬黑客的攻擊方法對系統(tǒng)和網(wǎng)絡(luò)進(jìn)行非破壞性質(zhì)的攻擊性測試，黑客的入侵和攻擊需要利用目標(biāo)系統(tǒng)的安全漏洞和弱點(diǎn)，滲透測試采用同樣的測試原理、方法、工具和路徑，所以可以最大程度的模擬真實(shí)黑客入侵的過程，黑客攻擊的目的是竊取和破壞，而滲透測試的目的是提前于攻擊者發(fā)現(xiàn)系統(tǒng)隱患，封堵漏洞，由于滲透測試采用可控的、非破壞性質(zhì)的工具和方法，因此在驗(yàn)證安全性問題的同時(shí)不會對被測系統(tǒng)造成負(fù)面影響。在滲透測試結(jié)束后，系統(tǒng)將基本保持一致。

·             注入缺陷（如SQL、LDAP、OS指令、XPath、XQuery、XSLT、XML）

·             業(yè)務(wù)邏輯漏洞

·             跨站腳本攻擊(XSS)

·             跨站請求偽造(CSRF)

·             身份驗(yàn)證或會話管理不當(dāng)

·             訪問控制不當(dāng)

·             缺少加密技術(shù)或加密算法使用不當(dāng)

·             由于錯誤信息導(dǎo)致信息暴露

·             重定向開放

·             無法限制URL訪問

·             不安全的直接對象應(yīng)用或路徑遍歷

·             服務(wù)器配置錯誤

·             防火墻規(guī)則設(shè)定分析