更多python、Linux、网络安全学习内容,可移步:www.oldboyedu.com或关注\"老男孩Linux\"公众号
分类: 网络与安全
2021-12-06 16:18:31
无论学习还是工作,常常有人会把漏洞扫描和渗透测试搞混,其实它们之间存在很大的区别,漏洞扫描替代不了渗透测试的重要性,渗透测试也替代不了漏洞扫描的价值,那么漏洞扫描和渗透测试的区别是什么?以下为大家做了详细的介绍。
第一点:概念不同
渗透测试服务是指在客户授权许可的情况下,利用各种主流的攻击技术对网络做模拟攻击测试,以发现系统中的安全漏洞和风险点,提前发现系统潜在的各种高危漏洞和安全威胁。
漏洞扫描指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测行为。
一般情况下来讲,渗透测试是由人工完成的,而漏洞扫描因为工作量大,多数由工具来完成,现在市场上有很多漏洞扫描工具。
渗透测试除了定位漏洞之外,还需要进一步尝试对漏洞进行攻击利用、提权以及维持对目标系统的控制权;漏洞扫描只是清楚的展示出系统中存在的所有缺陷,但不会衡量这些缺陷对系统造成的影响。
第二点:操作方式不同
渗透测试难度较大,而且渗透测试的范围也是有针对性的,是需要人为参与。你可能听说过自动化漏洞扫描,但你绝对没有听说过自动化渗透测试。
不仅如此,渗透测试人员不仅要针对应用层或者网络层进行测试,还需要出具完整的渗透测试报告。一般的报告都会包括这些内容:渗透测试过程中发现可被利用的漏洞,出现的原因以及解决方案等详细文字化的描述。
而漏洞扫描是在网络设备中发现已经存在的漏洞,比如防火墙、路由器、交换机服务器等各种应用等等,该过程是自动化的,主要针对的是网络或应用层上潜在的已知漏洞。漏洞的扫描过程中是不涉及到漏洞的利用。漏洞扫描在全公司范围进行,需要自动化工具处理大量的资产,其范围比渗透测试更大。
正常情况下,大型公司会采购自动化的漏洞扫描产品,每天或者定期进行漏洞扫描;而渗透测试是在新产品上线,或者发现公司有非常重要的数据在服务器上,担心泄露,被人窃取,让专业的服务商,定期进行人工的渗透测试。
由此可见,漏洞扫描和渗透测试并不是独立的,两者需要结合使用,这样才可以达到更好的效果。
第三点:性质不同
渗透测试的侵略性要强很多,它会试图使用各种技术手段攻击真实生产环境;相反,漏洞扫描只会以一种非侵略性的方式,仔细地定位和量化系统的所有漏洞。
第四点:消耗成本及时间不同
一般来说,渗透测试需要前期的各种准备工作,前期信息资产收集的越全面,后期的渗透就会越深入,它不仅是一个由浅到深的过程,更是一个连锁反应;对比漏洞扫描这个消耗的时间就要小的多了。可能很多人觉得渗透测试花费的经费太高,但通过介绍渗透测试的流程后也就不觉得价格高了,毕竟前期投入的大量人力、物力以及最后输出的成果。一个项目周期的话渗透测试次数一般在2-4次,新的业务上线这个是必须要做的。漏洞扫描一般都是定时自动化扫描的。