- 滲透測試教程
- 滲透測試 - 首頁
- 滲透測試 - 簡介
- 滲透測試 - 方法
- 測試與漏洞評估
- 滲透測試 - 型別
- 手動和自動化
- 滲透測試 - 工具
- 滲透測試 - 基礎設施
- 滲透測試 - 測試人員
- 滲透測試 - 報告編寫
- 滲透測試 - 倫理駭客
- 滲透測試與倫理駭客
- 滲透測試 - 限制
- 滲透測試 - 修復
- 滲透測試 - 法律問題
- 滲透測試資源
- 滲透測試 - 快速指南
- 滲透測試 - 資源
- 滲透測試 - 討論
滲透測試 - 手動與自動化
手動滲透測試和自動化滲透測試都用於相同的目的。它們之間唯一的區別在於執行方式。顧名思義,手動滲透測試由人類(該領域的專家)執行,而自動化滲透測試由機器本身執行。
本章將幫助您瞭解這兩個術語的概念、區別和適用性。
什麼是手動滲透測試?
手動滲透測試是由人類執行的測試。在這種型別的測試中,機器的漏洞和風險由專家工程師進行測試。
通常,測試工程師執行以下方法 -
資料收集 - 資料收集在測試中起著關鍵作用。可以手動收集資料,也可以使用線上免費提供的工具服務(例如網頁原始碼分析技術等)。這些工具有助於收集諸如表名、資料庫版本、資料庫、軟體、硬體,甚至有關不同第三方外掛等資訊
漏洞評估 - 收集資料後,它可以幫助測試人員識別安全弱點並相應地採取預防措施。
實際利用 - 這是專家測試人員用來對目標系統發起攻擊的典型方法,並且類似地降低了攻擊風險。
報告準備 - 滲透完成後,測試人員會準備一份最終報告,描述系統的所有資訊。最後,分析報告以採取糾正措施來保護目標系統。
手動滲透測試的型別
手動滲透測試通常分為以下兩種方式 -
聚焦手動滲透測試 - 這是一種更集中的方法,用於測試特定的漏洞和風險。自動化滲透測試無法執行此測試;它僅由檢查給定域中特定應用程式漏洞的人類專家執行。
全面手動滲透測試 - 透過測試相互連線的整個系統來識別各種風險和漏洞。但是,此測試的功能更多是情境的,例如調查多個低風險故障是否會導致更易受攻擊的攻擊場景等
什麼是自動化滲透測試?
自動化滲透測試速度更快、效率更高、更容易且更可靠,可以自動測試機器的漏洞和風險。這項技術不需要任何專家工程師,任何對該領域瞭解最少的人都可以執行它。
自動化滲透測試的工具包括 Nessus、Metasploit、OpenVAs、backtract(系列 5)等。這些是非常有效的工具,改變了滲透測試的效率和意義。
但是,下表說明了手動和自動化滲透測試之間的根本區別 -
| 手動滲透測試 | 自動化滲透測試 |
|---|---|
| 它需要專家工程師來執行測試。 | 它是自動化的,因此即使是學習者也可以執行測試。 |
| 它需要不同的工具進行測試。 | 它集成了工具,不需要任何外部工具。 |
| 在這種型別的測試中,結果可能因測試而異。 | 它有固定的結果。 |
| 此測試要求測試人員記住清理記憶體。 | 它不需要。 |
| 它非常全面且耗時。 | 它更有效率且速度更快。 |
| 它具有其他優勢,即如果專家進行滲透測試,那麼他可以更好地分析,他可以思考駭客會怎麼想以及會在哪裡發起攻擊。因此,他可以相應地設定安全措施。 | 它無法分析情況。 |
| 根據需要,專家可以執行多次測試。 | 它無法做到。 |
| 對於關鍵情況,它更可靠。 | 它不是。 |