滲透測試是在具有安(ān)全授權的情況下，模拟黑客的攻擊方法對系統和網絡進行非破壞性質(zhì)的攻擊性測試，黑客的入侵和攻擊需要利用(yòng)目标系統的安(ān)全漏洞和弱點，滲透測試采用(yòng)同樣的測試原理(lǐ)、方法、工具和路徑，所以可(kě)以模拟真實黑客入侵的過程，黑客攻擊的目的是竊取和破壞，而滲透測試的目的是提前于攻擊者發現系統隐患，封堵漏洞，由于滲透測試采用(yòng)可(kě)控的、非破壞性質(zhì)的工具和方法，因此在驗證安(ān)全性問題的同時不會對被測系統造成負面影響。在滲透測試結束後，系統将基本保持一緻。

·             注入缺陷（如SQL、LDAP、OS指令、XPath、XQuery、XSLT、XML）

·             業務(wù)邏輯漏洞

·             跨站腳本攻擊(XSS)

·             跨站請求僞造(CSRF)

·             身份驗證或會話管理(lǐ)不當

·             訪問控制不當

·             缺少加密技(jì )術或加密算法使用(yòng)不當

·             由于錯誤信息導緻信息暴露

·             重定向開放

·             無法限制URL訪問

·             不安(ān)全的直接對象應用(yòng)或路徑遍曆

·             服務(wù)器配置錯誤

·             防火牆規則設定分(fēn)析