渗透测试 - 手动和自动


手动渗透测试和自动渗透测试都是出于相同的目的进行的。它们之间的唯一区别是它们的执行方式。顾名思义,手动渗透测试是由人类(该领域的专家)完成的,而自动渗透测试是由机器本身完成的。

本章将帮助您了解这两个术语的概念、差异和适用性。

什么是手动渗透测试?

手动渗透测试是由人类完成的测试。在此类测试中,机器的漏洞和风险由专家工程师进行测试。

一般来说,测试工程师执行以下方法 -

  • 数据收集- 数据收集对于测试起着关键作用。可以手动收集数据,也可以使用网上免费提供的工具服务(例如网页源代码分析技术等)。这些工具有助于收集表名、数据库版本、数据库、软件、硬件甚至不同第三方插件等信息

  • 漏洞评估- 收集数据后,它可以帮助测试人员识别安全漏洞并采取相应的预防措施。

  • 实际利用- 这是专家测试人员用来对目标系统发起攻击的典型方法,同样可以降低攻击风险。

  • 报告准备- 渗透完成后,测试人员会准备一份最终报告,描述有关系统的所有信息。最后分析报告以采取纠正措施来保护目标系统。

手动渗透测试

手动渗透测试的类型

手动渗透测试通常分为以下两种方式 -

  • 重点手动渗透测试- 这是一种测试特定漏洞和风险的重点方法。自动化渗透测试无法执行此测试;它只能由人类专家来完成,他们检查给定领域内的特定应用程序漏洞。

  • 全面的手动渗透测试- 通过测试彼此连接的整个系统来识别各种风险和漏洞。但这种测试的功能更多是情景性的,比如调查多个低风险故障是否会带来更容易受到攻击的场景等

什么是自动化渗透测试?

自动渗透测试更快、更高效、更简单、更可靠,可以自动测试机器的漏洞和风险。这项技术不需要任何专业工程师,而是可以由任何对该领域知识最少的人来运行。

自动化渗透测试的工具有Nessus、Metasploit、OpenVAs、backtract(系列5)等。这些都是非常高效的工具,改变了渗透测试的效率和意义。

然而,下表说明了手动和自动渗透测试之间的根本区别 -

手动渗透测试 自动渗透测试
它需要专业工程师来执行测试。 它是自动化的,因此即使是学习者也可以运行测试。
它需要不同的测试工具。 它具有集成的工具,不需要任何外部的东西。
在这种类型的测试中,结果可能因测试而异。 它有固定的结果。
该测试需要测试人员记住清理内存。 它不是。
这是详尽且耗时的。 它更加高效和快速。
它还有额外的优点,即如果专家进行渗透测试,那么他可以更好地分析,他可以思考黑客会想到什么以及他可以攻击哪里。因此,他可以相应地采取安全措施。 它无法分析情况。
根据需要,专家可以进行多次测试。 这不可以。
对于危急情况,它更可靠。 它不是。