滲透測(cè)試（Penetration Test，簡(jiǎn)稱(chēng)為 PenTest），是指通過(guò)嘗試?yán)寐┒垂魜?lái)評(píng)估IT基礎(chǔ)設(shè)施的安全性。這些漏洞可能存在于操作系統(tǒng)、服務(wù)和應(yīng)用程序的缺陷、不當(dāng)配置或有風(fēng)險(xiǎn)的用戶行為中。這種評(píng)估也有助于驗(yàn)證防御機(jī)制的有效性以及最終用戶是否遵守安全政策。
?

滲透測(cè)試通常使用手動(dòng)或自動(dòng)技術(shù)來(lái)系統(tǒng)地破壞服務(wù)器、端點(diǎn)、網(wǎng)絡(luò)應(yīng)用、無(wú)線網(wǎng)絡(luò)、網(wǎng)絡(luò)設(shè)備、移動(dòng)設(shè)備和其他潛在的暴露點(diǎn)。一旦某個(gè)系統(tǒng)的漏洞被成功利用，測(cè)試人員會(huì)嘗試?yán)帽黄茐牡南到y(tǒng)繼續(xù)攻擊其他內(nèi)部資源，特別是，會(huì)通過(guò)權(quán)限升級(jí)逐步獲取更高級(jí)別的安全許可和對(duì)電子虛擬資產(chǎn)和信息的更深入訪問(wèn)。
?

通過(guò)滲透測(cè)試成功暴露的任何安全漏洞信息通常會(huì)被匯總提交給 IT 和網(wǎng)絡(luò)系統(tǒng)經(jīng)理，以幫助這些專(zhuān)業(yè)人士做出戰(zhàn)略性結(jié)論并調(diào)整修復(fù)工作的優(yōu)先級(jí)。滲透測(cè)試的根本目的是衡量系統(tǒng)或終端客戶被破壞的可能性，并評(píng)估此類(lèi)事件可能對(duì)相關(guān)資源或操作產(chǎn)生的任何后果。
?

把滲透測(cè)試看成是試圖通過(guò)自己動(dòng)手來(lái)確認(rèn)是否有人能闖入你的房子可能更好理解。滲透測(cè)試人員也被稱(chēng)為道德黑客，使用受控環(huán)境評(píng)估IT基礎(chǔ)設(shè)施的安全性，以安全地攻擊、識(shí)別和利用漏洞。區(qū)別在于他們不是檢查門(mén)窗，而是測(cè)試服務(wù)器、網(wǎng)絡(luò)、網(wǎng)絡(luò)應(yīng)用程序、移動(dòng)設(shè)備和其他潛在的突破口，以發(fā)現(xiàn)整套系統(tǒng)的弱點(diǎn)。