渗透测试的优点:1、找出上游安全保证活动中的漏洞,活动如自动化工具、配置和编码标准、架构分析以及其他轻量的漏洞评估活动;2、查找已知和未知软件缺陷和安全漏洞,包括自身不会引起太多关注但可能成为复杂攻击模式一部分并会引起重大危害的小缺陷;3、可攻击任何系统,模仿大多数恶意黑客的行为方式,并尽可能模拟现实世界的对手。
本文由 项目管理工具PingCode 小编整理
一、渗透测试的优缺点有哪些
随着安全漏洞的发生频率和严重程度逐年增加,各组织前所未有地渴望了解如何抵御攻击。PCI DSS 和 HIPAA 等法规强制要求定期进行渗透测试,以确保遵守其最新要求。考虑到这些压力,以下是这种类型的缺陷查找技术具有的一些优缺点:
渗透测试的优点
- 找出上游安全保证活动中的漏洞,活动如自动化工具、配置和编码标准、架构分析以及其他轻量的漏洞评估活动
- 查找已知和未知软件缺陷和安全漏洞,包括自身不会引起太多关注但可能成为复杂攻击模式一部分并会引起重大危害的小缺陷
- 可攻击任何系统,模仿大多数恶意黑客的行为方式,并尽可能模拟现实世界的对手
渗透测试的缺点
- 耗费大量人力和成本
- 不会全面防止漏洞和缺陷进入生产环节
二、渗透测试对比自动化测试
渗透测试大多采用手动操作。渗透测试人员确实会在过程中使用自动化扫描和测试工具。但他们还会进行不借助工具的测试,利用最新攻击技术的知识,思考越过安全屏障的方法,旨在提供比漏洞评估(即自动化测试)更深入的测试。以下是手动渗透测试相较于自动测试的几个优势:
手动渗透测试
渗透测试能够发现未列入常用列表(例如, OWASP 前二0)的漏洞和弱点,并测试自动测试可能忽略的业务逻辑(例如,数据验证、完整性检查)。此外,手动渗透测试审查可以帮助识别自动化测试报告误报的问题。总之,手动渗透测试人员都是“像对手一样思考”的专家,可以使用脚本例程的自动化测试解决方案无法做到的方式分析数据,锁定攻击目标并测试系统和网站。
自动化测试
与完全手动的渗透测试流程相比,自动化测试生成结果的速度更快,且需要的专业技术人员更少。自动化测试工具可自动跟踪结果,有时还能将其导出至集中式报告平台。此外,不同测试的手动渗透测试结果可能会有差别,但在同一系统上重复运行自动化测试将产生相同的结果。