Penetration Testing - Manual & Automated

进行手工渗透测试和自动渗透测试的目的相同。两者的唯一区别是它们是如何进行的。如名称所示,人工渗透测试由人(该领域的专家)进行,自动渗透测试由机器本身进行。

本章将有助于了解这两个术语的概念、差异和适用性。

What is Manual Penetration Testing?

人工渗透测试是人类进行的检测。在这类测试中,机器的脆弱性和风险由专家工程师测试。

一般来说,测试工程师采用以下方法:

Data Collection——数据收集在检测方面发挥着关键作用。要么可以人工收集数据,要么可以免费在线提供工具服务(如网页源代码分析技术等)。这些工具有助于收集表格名称、非行版本、数据库、软件、硬件等信息,甚至涉及第三方不同的原始产品等。

一旦收集数据,它就帮助测试者查明安全弱点并相应采取预防措施。

这是一种典型的方法,专家检测员用来对目标系统发动攻击,同样也减少了攻击的风险。

一旦渗透到场,检测员会编写一份最后报告,介绍该系统的所有情况。最后,报告分析了采取纠正措施保护目标系统。

人工渗透测试通常分为两类:

这是一个重点很突出的方法,它检验了具体的脆弱性和风险。自动渗透测试无法进行这种检测;只有审查特定领域内具体应用弱点的人类专家才能进行。

它是通过测试相互相关的整个系统,以确定各种风险和脆弱性。然而,这种测试的功能更是现实的,例如调查多种低风险的过失是否会带来更脆弱的攻击情景等。

自动渗透测试非常快捷、高效、容易和可靠,能够自动测试机器的脆弱性和风险。这种技术并不要求任何专家工程师,而是可以由对这个领域最了解的人操作。

自动渗透测试工具是Nessus、Metasploit、开放式自动装置、后继设备(第5类)。这些工具非常高效,改变了渗透检测的效率和意义。

然而,下表显示了人工渗透测试与自动渗透测试之间的根本区别。

Manual Penetration Testing	Automated Penetration Testing
It requires expert engineer to perform the test.	It is automated so even a learner can run the test.
It requires different tools for the testing.	It has integrated tools does required anything from outside.
In this type of testing, results can vary from test to test.	It has fixed result.
This test requires to remember cleaning up memory by the tester.	It does not.
It is exhaustive and time taking.	It is more efficient and fast.
It has additional advantages i.e. if an expert does pen test, then he can analyze better, he can think what a hacker can think and where he can attack. Hence, he can put security accordingly.	It cannot analyze the situation.
As per the requirement, an expert can run multiple testing.	It cannot.
For critical condition, it is more repable.	It is not.