自動化滲透測試在安全專業(yè)人員的工具包中發(fā)揮著重要的作用。作為全面安全程序的一部分，這些工具可以快速評估系統(tǒng)、網絡和應用抵御各種威脅的安全性。但安全專業(yè)人員應該將其視為傳統(tǒng)手動測試技術的一種補充，而不是替代。

10余年的富民網站建設經驗，針對設計、前端、開發(fā)、售后、文案、推廣等六對一服務，響應快，48小時及時工作處理。全網整合營銷推廣的優(yōu)勢是能夠根據(jù)用戶設備顯示端的尺寸不同，自動調整富民建站的顯示方式，使網站能夠適用不同顯示終端，在瀏覽器中調整網站的寬度，無論在任何一種瀏覽器上瀏覽網站，都能展現(xiàn)優(yōu)雅布局與設計，從而大程度地提升瀏覽體驗。創(chuàng)新互聯(lián)建站從事“富民網站設計”,“富民網站推廣”以來，每個客戶項目都認真落實執(zhí)行。

什么是自動化滲透測試?

在滲透測試中，安全專業(yè)人士在系統(tǒng)和應用中執(zhí)行蓄意攻擊，以確定是否可能獲得未經授權的訪問權限。這些測試的目的是采用“攻擊者心態(tài)”，使用實際攻擊者利用的相同的工具和技術來探測安全漏洞。滲透測試被廣泛認為對系統(tǒng)安全性的最好檢驗，因為它最接近真實世界的攻擊。執(zhí)行這些測試通常需要技術嫻熟的人員花費大量時間來執(zhí)行，并且，在理想情況下，執(zhí)行這些測試的工程師需要達到或者超過潛在攻擊者的技能水平。

滲透測試的高度手動性質和巨大代價導致很多企業(yè)選擇自動化部分過程。該測試仍然由熟練的專業(yè)人士指導，但很多步驟被自動化，以去除該測試的繁重的部分。例如，測試者可以使用漏洞掃描儀來測試大量系統(tǒng)中是否存在漏洞。同樣地，他們可以使用自動化漏洞利用工具來執(zhí)行多步驟攻擊。

為什么使用自動化測試?

使用這些工具為企業(yè)提供了幾個關鍵的好處。首先，當新漏洞出現(xiàn)時，使用頻繁掃描提高了檢測速度。其次，自動化工具可以廣泛測試大量系統(tǒng)中很多已知安全漏洞，而不需要繁瑣的手動測試過程。最后，自動化工具減輕了高技能人員繁瑣的工作，讓他們可以集中精力來協(xié)調測試以及運用其專業(yè)知識在最重要的地方。

自動化測試工具也可以是IT合規(guī)稽核的關鍵組成部分。例如，支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS)要求對卡處理系統(tǒng)定期進行漏洞評估。自動化是滿足這一要求的唯一現(xiàn)實途徑。但是，需要注意的是，自動化并不是PCI合規(guī)的萬能辦法。該標準承認：“滲透測試通常是高度手動換的過程。雖然可以使用一些自動化工具，但測試人員需要運用他們對系統(tǒng)的知識來滲透到環(huán)境中?！?/p>

選擇你的工具集

滲透測試人員的工具包應該包括廣泛的自動化工具，讓他或者她可以盡可能多的自動化其工作，以及在必要時使用手動來補充自動工具。這些工具應該包括網絡漏洞管理套件，例如Nessus、Qualys或者Rapid7。這些工具可以在整個企業(yè)中執(zhí)行快速廣泛的掃描，以發(fā)現(xiàn)面向網絡的漏洞。此外，滲透測試者應該使用Web滲透測試工具，例如Acunetix或者Weblnspect，這些工具可以檢測Web應用中的常見安全漏洞，例如SQL注入或者跨站腳本漏洞。

最后，每個工具集應該包括開源Metasploit框架。這個漏洞信息和漏洞利用攻擊集填補了自動化和手動測試之間的差距，讓測試人員可以探測網絡和Web評估工具檢測到的漏洞，以確定攻擊者是否能夠真正利用它們來獲取未經授權訪問權限。基本的Metasploit框架是免費的，有些商業(yè)供應商基于該框架推出了圖形界面和其他工具。

自動化滲透測試技術可以給安全計劃帶來顯著的優(yōu)勢。這些工具提供對系統(tǒng)安全的快速全面的評估，這是對手動測試技術的很好的補充。

名稱欄目：自動化滲透測試二三事
URL地址：http://uogjgqi.cn/article/copeppg.html