@火凤凰
2年前 提问
1个回答

手动渗透测试的类型有什么

一颗小胡椒
2年前

手动渗透测试的类型通常按以下两种方式进行分类:

  • 重点突出的手动渗透测试:这是测试特定漏洞和风险的重点突出的方法。自动渗透测试无法执行此测试;它仅由检查给定域内特定应用程序漏洞的人员完成。
  • 全面的手动渗透测试:通过测试相互连接的整个系统来识别各种风险和脆弱性。但是,此测试的函数更多的是根据情况而定,例如调查多个较低风险的故障是否可以带来更易受攻击情况等。

手动渗透测试的优点:

  • 手动渗透测试的最大优点是灵活,手动渗透测试可以发现自动测试可能未发现的更狡猾漏洞和攻击,比如盲SQL注入攻击、逻辑缺陷和访问控制漏洞。训练有素的专业人员可以在手动渗透测试中分析应用程序对此类攻击的响应,可以捕捉到自动测试软件认为没问题,但实际上有问题的响应。

  • 另一个优点是专家随时审查报告。虽然自动渗透测试工具也会生成报告,但安全分析员仍然要审查和修复发现的许多问题。手动渗透测试还可以在寻找漏洞时更灵活。例如,当企业想要分析防范社会工程攻击的情况,就需要手动渗透测试,测试有无语音钓鱼攻击时更是如此。

手动渗透测试的缺点:

  • 手动渗透测试的最大缺点是成本和时间。渗透测试付出的成本和时间以其彻底程度而定,有时可能需要数周时间才能获得结果,这并不总是尽如人意,在处理严重漏洞时更是如此。

  • 手动渗透测试也可能很烧钱,这就是为什么许多企业执行这种测试只是为了满足合规和监管要求。如果企业没钱设立内部红队或渗透测试团队,会选择第三方服务提供商用于满足测试需求,这是另一项成本。