滲透測(cè)試工具的類型 附上參考財(cái)料 https://weibo.com/kx99984 使用不同的工具套件進(jìn)行端口掃描、應(yīng)用掃描、Wi-Fi 侵入或網(wǎng)絡(luò)直接滲透。但一般而言，滲透測(cè)試工具的類型分為五個(gè)類別： 用于發(fā)現(xiàn)網(wǎng)絡(luò)主機(jī)和開放端口的偵察工具 用于發(fā)現(xiàn)網(wǎng)絡(luò)服務(wù)、Web 應(yīng)用和 API 問題的漏洞掃描器 代理工具（例如，專用網(wǎng)絡(luò)代理或通用中間人代理） 用于到達(dá)系統(tǒng)或訪問資產(chǎn)的利用工具 用于在利用之后與系統(tǒng)交互、維護(hù)和擴(kuò)展訪問權(quán)限以及實(shí)現(xiàn)攻擊目標(biāo)的工具 滲透測(cè)試對(duì)比自動(dòng)化測(cè)試 滲透測(cè)試大多采用手動(dòng)操作。滲透測(cè)試人員確實(shí)會(huì)在過程中使用自動(dòng)化掃描和測(cè)試工具。但他們還會(huì)進(jìn)行不借助工具的測(cè)試，利用最新攻擊技術(shù)的知識(shí)，思考越過安全屏障的方法，旨在提供比漏洞評(píng)估（即自動(dòng)化測(cè)試）更深入的測(cè)試。以下是手動(dòng)滲透測(cè)試相較于自動(dòng)測(cè)試的幾個(gè)優(yōu)勢(shì)： 手動(dòng)滲透測(cè)試 滲透測(cè)試能夠發(fā)現(xiàn)未列入常用列表（例如， OWASP Top 10）的漏洞和弱點(diǎn)，并測(cè)試自動(dòng)測(cè)試可能忽略的業(yè)務(wù)邏輯（例如，數(shù)據(jù)驗(yàn)證、完整性檢查）。此外，手動(dòng)滲透測(cè)試審查可以幫助識(shí)別自動(dòng)化測(cè)試報(bào)告誤報(bào)的問題?？傊謩?dòng)滲透測(cè)試人員都是“像對(duì)手一樣思考”的專家，可以使用腳本例程的自動(dòng)化測(cè)試解決方案無法做到的方式分析數(shù)據(jù)，鎖定攻擊目標(biāo)并測(cè)試系統(tǒng)和網(wǎng)站。 自動(dòng)化測(cè)試 與完全手動(dòng)的滲透測(cè)試流程相比，自動(dòng)化測(cè)試生成結(jié)果的速度更快，且需要的專業(yè)技術(shù)人員更少。自動(dòng)化測(cè)試工具可自動(dòng)跟蹤結(jié)果，有時(shí)還能將其導(dǎo)出至集中式報(bào)告平臺(tái)。此外，不同測(cè)試的手動(dòng)滲透測(cè)試結(jié)果可能會(huì)有差別，但在同一系統(tǒng)上重復(fù)運(yùn)行自動(dòng)化測(cè)試將產(chǎn)生相同的結(jié)果。 滲透測(cè)試的優(yōu)缺點(diǎn) 隨著安全漏洞的發(fā)生頻率和嚴(yán)重程度逐年增加，各組織前所未有地渴望了解如何抵御攻擊。PCI DSS 和 HIPAA 等法規(guī)強(qiáng)制要求定期進(jìn)行滲透測(cè)試，以確保遵守其最新要求?？紤]到這些壓力，以下是這種類型的缺陷查找技術(shù)具有的一些優(yōu)缺點(diǎn)： 滲透測(cè)試的優(yōu)點(diǎn) 找出上游安全保證活動(dòng)中的漏洞，活動(dòng)如自動(dòng)化工具、配置和編碼標(biāo)準(zhǔn)、架構(gòu)分析以及其他輕量的漏洞評(píng)估活動(dòng) 查找已知和未知軟件缺陷和安全漏洞，包括自身不會(huì)引起太多關(guān)注但可能成為復(fù)雜攻擊模式一部分并會(huì)引起重大危害的小缺陷 可攻擊任何系統(tǒng)，模仿大多數(shù)惡意黑客的行為方式，并盡可能模擬現(xiàn)實(shí)世界的對(duì)手 滲透測(cè)試的缺點(diǎn) 耗費(fèi)大量人力和成本 不會(huì)全面防止漏洞和缺陷進(jìn)入生產(chǎn)環(huán)節(jié) 附上文章出處： https://weibo.com/kx99984