渗透测试 - 手动和自动

---

手动渗透测试和自动渗透测试都是出于相同的目的进行的。它们之间的唯一区别是它们的执行方式。顾名思义，手动渗透测试是由人类（该领域的专家）完成的，而自动渗透测试是由机器本身完成的。

本章将帮助您了解这两个术语的概念、差异和适用性。

什么是手动渗透测试？

手动渗透测试是由人类完成的测试。在此类测试中，机器的漏洞和风险由专家工程师进行测试。

一般来说，测试工程师执行以下方法 -

• 数据收集- 数据收集对于测试起着关键作用。可以手动收集数据，也可以使用网上免费提供的工具服务（例如网页源代码分析技术等）。这些工具有助于收集表名、数据库版本、数据库、软件、硬件甚至不同第三方插件等信息

• 漏洞评估- 收集数据后，它可以帮助测试人员识别安全漏洞并采取相应的预防措施。

• 实际利用- 这是专家测试人员用来对目标系统发起攻击的典型方法，同样可以降低攻击风险。

• 报告准备- 渗透完成后，测试人员会准备一份最终报告，描述有关系统的所有信息。最后分析报告以采取纠正措施来保护目标系统。

手动渗透测试的类型

手动渗透测试通常分为以下两种方式 -

• 重点手动渗透测试- 这是一种测试特定漏洞和风险的重点方法。自动化渗透测试无法执行此测试；它只能由人类专家来完成，他们检查给定领域内的特定应用程序漏洞。

• 全面的手动渗透测试- 通过测试彼此连接的整个系统来识别各种风险和漏洞。但这种测试的功能更多是情景性的，比如调查多个低风险故障是否会带来更容易受到攻击的场景等

什么是自动化渗透测试？

自动渗透测试更快、更高效、更简单、更可靠，可以自动测试机器的漏洞和风险。这项技术不需要任何专业工程师，而是可以由任何对该领域知识最少的人来运行。

自动化渗透测试的工具有Nessus、Metasploit、OpenVAs、backtract（系列5）等。这些都是非常高效的工具，改变了渗透测试的效率和意义。

然而，下表说明了手动和自动渗透测试之间的根本区别 -