手动渗透测试和自动渗透测试都是为了相同的目的.它们之间的唯一区别在于它们的执行方式.顾名思义,人工渗透测试由人类(该领域的专家)完成,自动渗透测试由机器本身完成.
本章将帮助您了解概念,差异这两个术语的适用性.
手动渗透测试是由人类进行的测试.在这种类型的测试中,机器的漏洞和风险由专家工程师测试.
通常,测试工程师执行以下方法 :
数据收集 : 数据收集在测试中起着关键作用.可以手动收集数据,也可以使用在线免费提供的工具服务(如网页源代码分析技术等).这些工具有助于收集表名,数据库版本,数据库,软件,硬件甚至不同的第三方插件等信息.
漏洞评估 : 收集数据后,它可以帮助测试人员识别安全漏洞并采取相应的预防措施.
实际漏洞利用 : 这是专家测试人员用于对目标系统发起攻击的典型方法,同样可以降低攻击风险.
报告准备 : 渗透完成后,测试人员会准备一份描述系统所有内容的最终报告.最后,分析报告以采取纠正措施来保护目标系统.
手动穿透测试通常分为以下两种方式和减号;
重点手动渗透测试 : 它是一种非常集中的方法,可以测试特定的漏洞和风险.自动渗透测试无法执行此测试;它仅由检查给定域内特定应用程序漏洞的人工专家完成.
综合手册渗透测试 : 通过测试相互连接的整个系统来识别各种风险和脆弱性.但是,此测试的功能更具有情境性,例如调查多个低风险故障是否会带来更多易受攻击的情况等等.
自动渗透测试更快,更高效,更轻松,更可靠,可自动测试机器的漏洞和风险.该技术不需要任何专业工程师,而是任何对该领域知之甚少的人都可以运行.
自动渗透测试工具有Nessus,Metasploit,OpenVAs,后退(系列) 5)等.这些是非常有效的工具,改变了渗透测试的效率和意义.
然而,下表说明了手动和自动渗透测试之间的根本区别 :
| 手动渗透测试 | 自动渗透测试 |
|---|---|
| 它需要专业工程师来执行测试. | 它是自动化的,所以即使是学习者也可以运行测试. |
| 它需要不同的测试工具. | 集成工具确实需要外部的任何工具. |
| 在这种类型的测试中,结果可能因测试而异. | 它已经修复了结果. |
| 此测试需要记住测试仪清理内存. | 它没有. |
| 这是详尽无遗的. | 效率更高,更快. |
| 它还有其他优点,即如果专家做笔测试,然后他可以更好地分析,他可以想到黑客可以思考什么以及他可以攻击的地方.因此,他可以相应地设置安全性. | 它无法分析情况. |
| 根据要求,专家可以进行多次测试. | 它不能. |
| 对于危急情况,它更可靠. | 不是. |
