你的钱得到了最好的回报？(资格证与无资格证)

Question

我的日常活动主要包括渗透测试(白色/灰色/黑色)。在我的整个工作中，我试图教育我的客户关于测试类型的差异。例如，从内部角度(低级用户)进行认证测试，而不是完全“零知识”即插即用测试。对任何一个有测试经验的人来说，在安全情报方面是最有价值的。

我认为，并试图说服我的客户从事低水平的认证测试。这些测试通常涵盖零知识，因为我可以演示利用和升级的特权，以及没有特权。这种类型的测试可以覆盖内部威胁，以及执行客户端(危及)员工访问权限的威胁参与者。

我经常从结果的角度发现，攻击者只是在他们“客户端”了一名员工之后，才利用普通的低挂水果。“零知识”外部攻击已经被高度最小化，许多客户不喜欢web应用程序测试，因为他们认为它会“拖垮房子”，而且当许多组织将其基础设施转移到云端时，常常没有任何用处。

从设计/安全/网络/系统的角度来看，如果您参与了这些类型的测试，您会觉得最有价值吗？

Answer 1

这取决于你的目标是什么。如果目标是发现尽可能多的漏洞和风险，白盒是最好的方法。如果目标是“攻击者可以为我的应用程序提供多少时间”，那么黑匣子是最好的方法。

我们在客户端的表现，以及他们想要什么时候的主要区别，通常取决于他们测试的是哪种类型的弹性。白盒方法是我们通常要做的持续和结构化的应用程序测试。这里的目标不是找到一个漏洞，然后关闭商店，一旦你已经典当了他们的系统。它提供尽可能多的覆盖，发现尽可能多的漏洞，从良好实践(CSP和HSTS报头)到适当的漏洞(如XSS )。

后者，我们在客户端希望测试其事件响应或检测能力的约定中使用更多。重点是利用在野外发现的任何信息，以任何方式进入保护区。

最后，它还涉及到您正在处理的客户类型，但也是您的工作，以告知您的客户为什么需要这种类型的测试。我总是告诉他们，如果这是第一次，我们很可能会发现很多事情。让他们和他们的管理层明白这并不是一件坏事，这是很重要的，他们可以利用这一机会来提高或要求更多的伙伴来吸引更多的具有安全相关技能的人。客户仍然决定，你可以告诉他们你建议他们需要什么，但如果他们已经下定决心，你也需要尊重这一点，毕竟这是他们的钱。

Answer 2

我们称它为黑匣子测试。它向客户端展示了如果攻击者破坏了网络并能够“探索”会发生什么。我认为这更有价值，因为有多少系统会在不知情的情况下提供凭据。这是一种在没有内部“帮助”的情况下进行测试的方式，就像真正的攻击者所面对的那样。