手動滲透測試的類型有什么

手動滲透測試的類型通常按以下兩種方式進行分類：

• 重點突出的手動滲透測試：這是測試特定漏洞和風險的重點突出的方法。自動滲透測試無法執行此測試；它僅由檢查給定域內特定應用程序漏洞的人員完成。

• 全面的手動滲透測試：通過測試相互連接的整個系統來識別各種風險和脆弱性。但是，此測試的函數更多的是根據情況而定，例如調查多個較低風險的故障是否可以帶來更易受攻擊情況等。

手動滲透測試的優點：

• 手動滲透測試的最大優點是靈活，手動滲透測試可以發現自動測試可能未發現的更狡猾漏洞和攻擊，比如盲SQL注入攻擊、邏輯缺陷和訪問控制漏洞。訓練有素的專業人員可以在手動滲透測試中分析應用程序對此類攻擊的響應，可以捕捉到自動測試軟件認為沒問題，但實際上有問題的響應。

• 另一個優點是專家隨時審查報告。雖然自動滲透測試工具也會生成報告，但安全分析員仍然要審查和修復發現的許多問題。手動滲透測試還可以在尋找漏洞時更靈活。例如，當企業想要分析防范社會工程攻擊的情況，就需要手動滲透測試，測試有無語音釣魚攻擊時更是如此。

手動滲透測試的缺點：

• 手動滲透測試的最大缺點是成本和時間。滲透測試付出的成本和時間以其徹底程度而定，有時可能需要數周時間才能獲得結果，這并不總是盡如人意，在處理嚴重漏洞時更是如此。

• 手動滲透測試也可能很燒錢，這就是為什么許多企業執行這種測試只是為了滿足合規和監管要求。如果企業沒錢設立內部紅隊或滲透測試團隊，會選擇第三方服務提供商用于滿足測試需求，這是另一項成本。

回答所涉及的環境：聯想天逸510S、Windows 10。