自動滲透測試是由機器本身完成,幫助企業主動發現漏洞,了解現有安全措施的成效或不足。自動滲透測試的缺點:
自動滲透測試的缺點是測試結果取決于滲透測試工具本身的好壞以及用戶的知識水平。如果滲透測試軟件開發人員沒有盡到本職工作,自動滲透測試就有缺陷,可能會錯漏關鍵問題。
自動滲透測試在功能上依然有限,無法面向各種測試場景進行部署。大多數工具不支持面向無線網絡、Web應用程序和社會工程攻擊進行滲透測試。
自動滲透測試的優點:
自動測試成本較低、更容易進行。相比較手動滲透測試既復雜又燒錢,許多企業更青睞于自動測試。
自動滲透測試的另一個優點是為安全分析師節省了時間,使他們可以專注于測試期間可能被耽擱的其他任務。
自動化還可以處理重復性任務,這些任務不一定復雜,但手動處理起來很耗時。
頻繁的自動滲透測試還可以幫助企業評估全部計算機系統——這些系統的更新比測試來得更頻繁,比如在快速發布周期期間內。
自動滲透測試工具有:
Nessus
提供完整的電腦漏洞掃描服務, 并隨時更新其漏洞數據庫。不同于傳統的漏洞掃描軟件, Nessus 可同時在本機或遠端上搖控, 進行系統的漏洞分析掃描。其運作效能能隨著系統的資源而自行調整。如果將主機加入更多的資源(例如加快CPU速度或增加內存大小),其效率表現可因為豐富資源而提高。可自行定義插件(Plug-in) NASL(Nessus Attack Scripting Language) 是由 Tenable 所開發出的語言,用來寫入Nessus的安全測試選項。完整支持SSL (Secure Socket Layer)。自從1998年開發已逾二十年, 故為一架構成熟的軟件。
采用客戶/服務器體系結構,客戶端提供了運行在X window 下的圖形界面,接受用戶的命令與服務器通信,傳送用戶的掃描請求給服務器端,由服務器啟動掃描并將掃描結果呈現給用戶;掃描代碼與漏洞數據相互獨立,Nessus 針對每一個漏洞有一個對應的插件,漏洞插件是用NASL(NESSUS Attack Scripting Language)編寫的一小段模擬攻擊漏洞的代碼,這種利用漏洞插件的掃描技術極大的方便了漏洞數據的維護、更新;Nessus 具有掃描任意端口任意服務的能力;以用戶指定的格式(ASCII 文本、html 等)產生詳細的輸出報告,包括目標的脆弱點、怎樣修補漏洞以防止黑客入侵及危險級別。
Metasploit
這種可以擴展的模型將負載控制,編碼器,無操作生成器和漏洞整合在一起,使 Metasploit Framework 成為一種研究高危漏洞的途徑。它集成了各平臺上常見的溢出漏洞和流行的 shellcode ,并且不斷更新。最新版本的 MSF 包含了750多種流行的操作系統及應用軟件的漏洞,以及224個 shellcode 。作為安全工具,它在安全檢測中用著不容忽視的作用,并為漏洞自動化探測和及時檢測系統漏洞提供了有力保障。
Metasploit自帶上百種漏洞,還可以在online exploit building demo(在線漏洞生成演示)上看到如何生成漏洞。這使自己編寫漏洞變得更簡單,它勢必將提升非法shellcode的水平,并且擴大網絡陰暗面。與其相似的專業漏洞工具,如Core Impact和Canvas已經被許多專業領域用戶使用。Metasploit降低了使用的門檻,將其推廣給大眾。
OpenVAs
OpenVAS是一個客戶端/服務器架構,它由幾個組件組成。在服務器上(僅限于Linux),用戶需要四個程序包:OpenVAS-Server: 實現基本的掃描功能OpenVAS-Plugins: 一套網絡漏洞)測試程序OpenVAS-LibNASL 和OpenVAS-Libraries: 實現服務器功能所需要的組件而在客戶端上(Windows或Linux均可),用戶僅需要OpenVAS客戶端。
回答所涉及的環境:聯想天逸510S、Windows 10。
自動滲透測試是由機器本身完成,幫助企業主動發現漏洞,了解現有安全措施的成效或不足。自動滲透測試的缺點:
自動滲透測試的缺點是測試結果取決于滲透測試工具本身的好壞以及用戶的知識水平。如果滲透測試軟件開發人員沒有盡到本職工作,自動滲透測試就有缺陷,可能會錯漏關鍵問題。
自動滲透測試在功能上依然有限,無法面向各種測試場景進行部署。大多數工具不支持面向無線網絡、Web應用程序和社會工程攻擊進行滲透測試。
自動滲透測試的優點:
自動測試成本較低、更容易進行。相比較手動滲透測試既復雜又燒錢,許多企業更青睞于自動測試。
自動滲透測試的另一個優點是為安全分析師節省了時間,使他們可以專注于測試期間可能被耽擱的其他任務。
自動化還可以處理重復性任務,這些任務不一定復雜,但手動處理起來很耗時。
頻繁的自動滲透測試還可以幫助企業評估全部計算機系統——這些系統的更新比測試來得更頻繁,比如在快速發布周期期間內。
自動滲透測試工具有:
Nessus
提供完整的電腦漏洞掃描服務, 并隨時更新其漏洞數據庫。不同于傳統的漏洞掃描軟件, Nessus 可同時在本機或遠端上搖控, 進行系統的漏洞分析掃描。其運作效能能隨著系統的資源而自行調整。如果將主機加入更多的資源(例如加快CPU速度或增加內存大小),其效率表現可因為豐富資源而提高。可自行定義插件(Plug-in) NASL(Nessus Attack Scripting Language) 是由 Tenable 所開發出的語言,用來寫入Nessus的安全測試選項。完整支持SSL (Secure Socket Layer)。自從1998年開發已逾二十年, 故為一架構成熟的軟件。
采用客戶/服務器體系結構,客戶端提供了運行在X window 下的圖形界面,接受用戶的命令與服務器通信,傳送用戶的掃描請求給服務器端,由服務器啟動掃描并將掃描結果呈現給用戶;掃描代碼與漏洞數據相互獨立,Nessus 針對每一個漏洞有一個對應的插件,漏洞插件是用NASL(NESSUS Attack Scripting Language)編寫的一小段模擬攻擊漏洞的代碼,這種利用漏洞插件的掃描技術極大的方便了漏洞數據的維護、更新;Nessus 具有掃描任意端口任意服務的能力;以用戶指定的格式(ASCII 文本、html 等)產生詳細的輸出報告,包括目標的脆弱點、怎樣修補漏洞以防止黑客入侵及危險級別。
Metasploit
這種可以擴展的模型將負載控制,編碼器,無操作生成器和漏洞整合在一起,使 Metasploit Framework 成為一種研究高危漏洞的途徑。它集成了各平臺上常見的溢出漏洞和流行的 shellcode ,并且不斷更新。最新版本的 MSF 包含了750多種流行的操作系統及應用軟件的漏洞,以及224個 shellcode 。作為安全工具,它在安全檢測中用著不容忽視的作用,并為漏洞自動化探測和及時檢測系統漏洞提供了有力保障。
Metasploit自帶上百種漏洞,還可以在online exploit building demo(在線漏洞生成演示)上看到如何生成漏洞。這使自己編寫漏洞變得更簡單,它勢必將提升非法shellcode的水平,并且擴大網絡陰暗面。與其相似的專業漏洞工具,如Core Impact和Canvas已經被許多專業領域用戶使用。Metasploit降低了使用的門檻,將其推廣給大眾。
OpenVAs
OpenVAS是一個客戶端/服務器架構,它由幾個組件組成。在服務器上(僅限于Linux),用戶需要四個程序包:OpenVAS-Server: 實現基本的掃描功能OpenVAS-Plugins: 一套網絡漏洞)測試程序OpenVAS-LibNASL 和OpenVAS-Libraries: 實現服務器功能所需要的組件而在客戶端上(Windows或Linux均可),用戶僅需要OpenVAS客戶端。
回答所涉及的環境:聯想天逸510S、Windows 10。