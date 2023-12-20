网络渗透的运作方式如下：道德黑客或红队使用黑客工具和技术，对组织的计算机系统进行模拟网络攻击。其目的是躲过组织的防火墙并进行未经授权的访问。

网络渗透测试可包括攻击 Web 应用程序、API、端点和物理控制措施。对操作系统的模拟攻击可以揭示安全薄弱环节，并向组织展示薄弱点所在。

虚假攻击有助于安全团队发现与网络基础架构相关的安全漏洞。可以测试的常见威胁包括分布式拒绝服务 (DDos) 攻击、域名系统 (DNS)、恶意软件、网络钓鱼和 SQL 注入。

测试人员还可以使用工具进行侦察，并实现渗透测试过程自动化。通常使用两种类型的测试：内部测试和外部测试。

内部网络测试：在内部测试中，渗透测试人员充当内部攻击者或试图利用窃取的凭据实施恶意行为的人。这类测试的主要目的是发现个人或员工可从组织内部加以利用的漏洞。为了完成模拟，测试人员需要通过窃取信息和滥用权限来访问私人数据或敏感数据。

外部网络测试：外部网络渗透测试服务旨在模拟试图入侵网络的外部攻击者。这些渗透测试人员致力于发现直接连接到互联网的安全问题，例如服务器、路由器、网站、应用程序和员工计算机等开源风险。