安全測試不同于滲透測試，滲透測試側(cè)重于幾個點的穿透攻擊，而安全測試是側(cè)重于對安全威脅的建模，系統(tǒng)的對來自各個方面，各個層面威脅的全面考量。安全測試可以告訴您，您的系統(tǒng)可能會來自哪個方面的威脅，正在遭受哪些威脅，以及您的系統(tǒng)已經(jīng)可抵御什么樣的威脅。當(dāng)然，安全測試涵蓋滲透測試的部分內(nèi)容。

安全測試與滲透測試的區(qū)別主要在：

滲透測試考慮的是以黑客方法，從單點上找到利用途徑，證明你有問題，幫助客戶提高認(rèn)識，也能解決急迫的一些問題，但無法也不能去針對系統(tǒng)做完備性的安全測試，所以難以解決系統(tǒng)自身實質(zhì)性的安全問題，所以提供滲透測試的廠商一般都是自己買什么防護(hù)設(shè)備，以自己防護(hù)設(shè)備針對的威脅為主要滲透點，找到你有類似的問題，解決方案就以賣對應(yīng)的防護(hù)設(shè)備作為手段，針對具體的威脅，通過防護(hù)設(shè)備采取被動的防護(hù)。而安全測試的廠商，則從整體系統(tǒng)架構(gòu)，安全編碼，安全測試，安全測試覆蓋性，安全度量等多個因素去考慮問題，提出的解決方法則是逐步幫助客戶引入安全開發(fā)過程，提供相應(yīng)的工具支撐，目標(biāo)是最后讓客戶提升業(yè)務(wù)系統(tǒng)自身實質(zhì)性安全問題。

安全測試首先會對被測試系統(tǒng)做系統(tǒng)分析，分析其架構(gòu)，軟件體系以及程序部署等等，然后再對被測系統(tǒng)做系統(tǒng)安全分析，在這之后會對系統(tǒng)進(jìn)行安全建模，明確本系統(tǒng)可能來自的各個潛在威脅，之后需要剖析系統(tǒng)，確認(rèn)有哪些攻擊界面，根據(jù)測試方案進(jìn)行測試。

安全測試只關(guān)注漏洞的可利用性分析，但不關(guān)注漏洞如何被真實利用的技術(shù)，這當(dāng)中有幾個因素：

成本因素：對攻擊者來說，利用漏洞的收益是系統(tǒng)所保護(hù)的資產(chǎn)，所以可以投入更多的成本來研究漏洞的利用，包括時間，人員，手段。但是對安全測試來說，整個收益是客戶愿意投入的成本，系統(tǒng)所保護(hù)的資產(chǎn)遠(yuǎn)大于系統(tǒng)開發(fā)投入，安全投入又只占系統(tǒng)開發(fā)投入的百分之三左右，所以從成本角度考慮，安全測試只關(guān)注評估漏洞被利用的可能性，而不應(yīng)該具體去研究漏洞如何被利用且展示給客戶。

視角因素：安全測試是幫助客戶降低安全威脅，減少安全漏洞。本身是一種防護(hù)技術(shù)，盡量發(fā)現(xiàn)安全問題并指導(dǎo)客戶修復(fù)安全問題是關(guān)鍵，沿著的路徑是發(fā)現(xiàn)安全問題->分析評估安全問題-〉提出修補(bǔ)建議-〉度量安全，而不是以攻擊者視角發(fā)現(xiàn)安全問題-〉利用安全問題-〉獲得非法收益的路徑。對防護(hù)方最有價值的是發(fā)現(xiàn)問題，解決問題，而不是發(fā)現(xiàn)問題，利用問題。防護(hù)方關(guān)注都漏洞是否可被利用確定安全漏洞和修復(fù)級別就夠了，研究再多的具體攻擊利用技術(shù)，對操作系統(tǒng)級別的防護(hù)是有意義的，但是對普通應(yīng)用系統(tǒng)的開發(fā)與使用者則是無價值的。

假定因素：客戶面臨的風(fēng)險不僅來自于外部，也可能來自于攻擊者通過客戶端主機(jī)的滲透（如通過對某員工筆記本掛馬再接入內(nèi)網(wǎng)的方式），還有可能來自于內(nèi)部。安全要保護(hù)全面的安全，我們不能假定攻擊者路徑就一定處于同滲透測試一樣的純外部嚴(yán)密防護(hù)中，也無法假定攻擊者通過時間積累社工或自身特性（員工）獲取到一些信息。同時攻擊利用技術(shù)發(fā)展到現(xiàn)在，已經(jīng)和具體應(yīng)用的特性結(jié)合起來，攻擊者時刻有可能發(fā)現(xiàn)以前我們認(rèn)為低危，不好利用的漏洞的利用方法。因此安全測試關(guān)注點是業(yè)務(wù)系統(tǒng)在失去所有外部防護(hù)之后，自身實現(xiàn)的安全性，關(guān)注高覆蓋的安全測試和安全度量，而不是單一的滲透測試。

當(dāng)然目前，由于用戶對安全的理解還存在很多認(rèn)識誤區(qū)，還需要慢慢改善。

最近1個項目，用戶的目標(biāo)是希望能業(yè)務(wù)系統(tǒng)上線之前，通過測試改善安全，用戶以前的安全主要是某國際大公司提供流程咨詢一套，但難以解決安全問題，因此用戶希望引入安全測試來全面提升安全，其實是很符合安全測試目標(biāo)的，但是在選型之后，給予幾家廠商PK的項目則是純網(wǎng)站滲透測試性的，評價標(biāo)準(zhǔn)也只是在誰最后真實入侵了誰牛的標(biāo)準(zhǔn)，雖然我們也滲透成功，但是出具的報告則是針對某個頁面具體的威脅分析，改進(jìn)建議，沒有去放置破壞性實質(zhì)入侵的東西，用戶反倒覺得沒其他做滲透測試廠商報告漂亮，抓了WEBSHELL的屏，拿了敏感文件什么的，其實就和安全測試的本意就遠(yuǎn)了。

當(dāng)然既然用戶的認(rèn)識只在這個階段，也沒辦法，后面的測試我們就只能以滲透利用的方式去做和出報告了，但我一直在想，用戶需要的是提升自身業(yè)務(wù)系統(tǒng)的安全，繼續(xù)滲透這套方法，我們難道又要回到賣防護(hù)設(shè)備被動防護(hù)的方式嗎？在給微軟測試當(dāng)中，我提交的報告無需去寫EXP，除了MDB那個例外，因為微軟認(rèn)為MDB不是安全文件，我給他們說了可以利用來打IIS，但估計我拙劣的英文沒讓他們明白，最后才以BLUEHAT上的實際演示來證明。其實技術(shù)發(fā)展到現(xiàn)在，安全漏洞具體怎么利用成為了一門藝術(shù)，但是漏洞理論上是否可被利用卻是基本可以定性的，只要理論上可以被利用的漏洞，廠商都應(yīng)該修補(bǔ)，因為我們不能假設(shè)攻擊者不能通過深入研究達(dá)到實質(zhì)可利用，廠商也沒必要花費大量的成本去研究實質(zhì)可利用。所以微軟無需我提交EXP，只要指出是否理論可利用就可以了。

其實攻擊者只要付出研究成本，大多數(shù)理論上可被利用的漏洞都是可以達(dá)到很高利用程度的，最近給相關(guān)部門提交了一個非常嚴(yán)重，影響國內(nèi)多個重點行業(yè)使用的產(chǎn)品漏洞，但對方認(rèn)為這個漏洞太難利用了，因為有應(yīng)用自身編碼檢測要求，否則無法寫自己可控內(nèi)容到文件；沒辦法，只能花了一晚上時間熬夜逆向分析，最后寫出了編碼的代碼，可以非常容易實施攻擊，證實這是個極度高危的安全漏洞。是的，雖然最終把利用代碼寫出來了，讓任何說不能實際利用的人都無話可說，但是，這種成本花銷值得嗎？廠商會對發(fā)現(xiàn)自身安全漏洞支付成本，會對發(fā)現(xiàn)的安全漏洞寫出可利用攻擊來支付成本嗎？房屋安全驗收員發(fā)現(xiàn)了房屋存在空鼓就可以了，而不是非得貼上瓷磚等上2年讓墻磚出現(xiàn)開裂、脫落的現(xiàn)象才能給業(yè)主證明。