@风铃
3年前 提问
1个回答

漏洞扫描与渗透测试的区别

趣能一姐
2年前

渗透测试利用目标系统架构中存在的漏洞,而漏洞扫描(或评估)则检查已知漏洞,产生风险形势报告。

渗透测试范围是针对性的,而且总有人的因素参与其中。这个世界上没有自动化渗透测试这种东西。渗透测试需要使用工具,有时候要用到很多工具,但同样要求有极具经验的专家来进行测试。

漏洞扫描是在网络设备中发现潜在漏洞的过程,比如防火墙、路由器、交换机、服务器、各种应用等等。该过程是自动化的,专注于网络或应用层上的潜在及已知漏洞。漏洞扫描不涉及漏洞利用。漏洞扫描器只识别已知漏洞,因而不是为了发现零日漏洞利用而构建的。

渗透测试在应用层面或网络层面都可以进行,也可以针对具体功能、部门或某些资产。或者,也可以将整个基础设施和所有应用囊括进来。只不过,受成本和时间限制,这在现实世界中是不切实际的。

漏洞扫描在全公司范围进行,需要自动化工具处理大量的资产。其范围比渗透测试要大。漏洞扫描产品通常由系统管理员或具备良好网络知识的安全人员操作,想要高效使用这些产品,需要拥有特定于产品的知识。