问“网络渗透测试”和"web应用程序渗透测试“有什么区别？

EN

对于我所处理的客户来说，区别在于：

• "web渗透测试“正在测试为生产而配置的web服务器的安全性(例如，RHEL7.4和SELinux一起强制执行运行Apachehttpd2.4的模式，在同一台机器上面对一个带有两个servlet的Tomcat服务器，其中HTTPD正在侦听端口443上的所有通信量，Tomcat只从本地主机监听端口8443，iptables正在阻塞对端口8443的外部访问)。这是为了查找服务器总体配置中的漏洞。
• "web应用程序渗透测试“是测试web应用程序本身的设计和配置的安全性，而不是它可能依赖的其他保护。从上面的示例来看，这意味着在有意允许通信通过端口8443上的iptable并禁用SELinux之后，对Tomcat服务器和servlet进行渗透测试。这是在查找应用程序本身中可能完全、部分或不缓解的漏洞，这取决于正在运行的服务器是如何配置的。