渗透测试和漏洞扫描常常被混淆,这两者都通过探索系统来寻找 IT 基础架构中的弱点及易受攻击的地方。阅读本文,带你了解两者之间的差异与不同。

手动 vs 自动

渗透测试是一种手动安全评估方式,网络安全人员通过此类测试,对系统的安全控制进行评估,包括 web 应用程序、网络和云环境。这种测试可能需要几周的时间才能完成,基于其复杂性和成本,企业往往选择每年进行一次渗透测试。

而漏洞扫描是一种自动化,且可以直接安装在网络上或在线访问工具执行的安全检查。漏洞扫描程序会在系统中运行无数次安全检查,生成包含修复建议的漏洞列表。因此,即使企业团队没有 24/7 的网络安全专家,也能够持续运行安全检查。

一次性 vs 常规性

渗透测试能够有效帮助企业在某个时间点发现缺陷。然而由于渗透测试的复杂性和成本,许多企业选择每年进行一次渗透测试,执行年度渗透测试来保护企业免受网络攻击已成为企业安全战略的重要组成部分。那么问题来了,在两次测试之间的一年内会发生什么呢?

比如,在上一次渗透测试结束和下一次开始之前的一年中,在运行敏感客户门户的 Apache Web 服务器中发现了一个严重漏洞,该怎么办呢?或者初级开发人员做了错误的安全配置会怎样呢?再或者网络工程师临时打开防火墙上的一个端口,把数据库暴露在互联网但却忘记关闭它又会怎样?在下一次渗透测试之前,如果不加以控制,这些问题很有可能导致严重的数据泄露问题,并给企业造成巨大的损失。

渗透测试还远远不够

了解了渗透测试的特点,我们不难看出仅仅依靠渗透测试来进行安全检查是远远不够的。做个通俗的类比,一年一次的渗透测试就好比一年检查一次安全要求很高的场所的门锁,但并不安排专人值守,直到下一年再去检查这个锁是否安全。你听听,这靠谱吗?

如果没有对网络安全问题的持续监控,那么攻击者就有机会在问题修复前进行利用并发起攻击。那些需要强大物理安全性的企业常常把拥有能够在全年每天 24 小时不间断阻止攻击的自动化解决方案挂在嘴边,而在恶意网络攻击猖獗的互联网时代,对待网络安全也需要拥有同样的态度和解决方案。

两者相互补充

虽然目前有一些公司仍然通过一年一次的渗透测试来作为网络安全的唯一防线,但是还是有很多企业已经意识到漏洞威胁出现的频率大幅提高,以及持续、自动化漏洞扫描的重要性。

漏洞扫描程序通过定期扫描,为企业提供在渗透测试时间空档之间的持续安全覆盖补充。值得庆幸的是,越来越多的企业安全意识逐渐提高,对于全天候覆盖的安全策略的需求随之增加,漏洞扫描作为补充手动渗透测试的强大补充,也逐渐成为各类规模公司的首选。

渗透测试 vs 漏洞扫描:差异与不同的更多相关文章

  1. Shodan在渗透测试及漏洞挖掘中的一些用法

    渗透测试中,第一阶段就是信息搜集,这一阶段完成的如何决定了你之后的进行是否顺利,是否更容易.而关于信息收集的文章网上也是有太多.今天我们来通过一些例子来讲解如何正确使用Shodan这一利器. 想要利用 ...

  2. 使用C#winform编写渗透测试工具--端口扫描

    使用C#winform编写渗透测试工具--端口扫描器 主要介绍使用C#winform编写渗透测试工具--端口扫描器,端口扫描器则是一种检测服务器或者主机虚拟端口是开启或关闭的工具.由于连接到局域网或互 ...

  3. pikachs 渗透测试2-XSS漏洞及利用

    一.概述 XSS(跨站脚本)概述 Cross-Site Scripting 简称为"CSS",为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS.一般XS ...

  4. 渗透测试中期--漏洞复现--MS08_067

    靶机:Win2k3    10.10.10.130 攻击机:BT5      10.10.10.128 一:nmap 查看WinK3是否开放端口3389 开放3389方法:我的电脑->属性-&g ...

  5. Springboot之Actuator的渗透测试和漏洞利用

    背景概述 Spring的生态很优秀,而使用Spring Boot的开发者也比较多. Actuator是Spring Boot提供的对应用系统的监控和管理的集成功能,可以查看应用配置的详细信息,例如自动 ...

  6. OWASP_ZAP集成渗透测试和漏洞工具

    使用方法详见https://www.jianshu.com/p/78d7d4ad8054

  7. web漏洞扫描工具集合

    最好用的开源Web漏洞扫描工具梳理 链接:www.freebuf.com/articles/web/155209.html 赛门铁克2017年互联网安全威胁报告中提出在他们今年扫描的网站中,有76%都 ...

  8. Web漏洞扫描工具(批量脱壳、反序列化、CMS)

    一.什么是Web漏洞扫描工具 即是指“扫描Web应用以查找安全漏洞(如跨站脚本,SQL注入,命令执行,目录遍历和不安全服务器配置)的自动化工具”,其中许多可能是由不安全或不正确的编码和设计.另一方面, ...

  9. ref:Web Service 渗透测试从入门到精通

    ref:https://www.anquanke.com/post/id/85910 Web Service 渗透测试从入门到精通 发布时间:2017-04-18 14:26:54 译文声明:本文是翻 ...

  10. 2018-2019-2 网络对抗技术 20165212 Exp6 信息搜集与漏洞扫描

    2018-2019-2 网络对抗技术 20165212 Exp6 信息搜集与漏洞扫描 原理与实践说明 1.实践原理 信息搜集:渗透测试中首先要做的重要事项之一,搜集关于目标机器的一切信息 间接收集 D ...

随机推荐

  1. could not chdir to home directory /home/user:permission denied /bin/bash:Permiss 的原因和解决方法

    今天在vm上登录一个user 的时候,发现正确输入用户名和密码后弹出了这样的信息,登陆不上. 发现给出的信息中,permission denied 而 bin permiss; 这种情况表明自己给该用 ...

  2. Python 文件处理指南:打开、读取、写入、追加、创建和删除文件

    文件处理是任何Web应用程序的重要部分.Python有多个用于创建.读取.更新和删除文件的函数. 文件处理 在Python中处理文件的关键函数是open()函数.open()函数接受两个参数:文件名和 ...

  3. 通过Span实现高性能数组,实例解析

    Span<T> 是 C# 7.2 引入的一个强大的数据结构,用于表示内存中的一块连续数据.它可以用于实现高性能的数组操作,而无需额外的内存分配.在本文中,我将详细介绍如何使用 Span&l ...

  4. MAUI+Masa Blazor APP 各大商店新手发布指南-华为篇

    目录 前言 准备材料 一.企业认证 二.审核资料 审核注意事项 总结 前言 AppGallery Connect(简称AGC)是华为应用市场推出的应用一站式服务平台,致力于为开发者提供应用创意.开发. ...

  5. python3使用pandas备份mysql数据表

    操作系统 :CentOS 7.6_x64 Python版本:3.9.12 MySQL版本:5.7.38 日常开发过程中,会遇到mysql数据表的备份需求,需要针对单独的数据表进行备份并定时清理数据. ...

  6. windows 电脑 连接蓝牙耳机没有麦克风

    前言 windows 电脑 连接蓝牙耳机没有麦克风,明明已经显示麦克风图标,为什么录制不到声音 原因 电脑连蓝牙耳机有两个模式:hand free和stereo.handfree是可以语音通话的,但是 ...

  7. [ARC168E] Subsegments with Large Sums

    题目链接 看到严格选 \(k\) 个,不难想到 WQS二分.定义 \(f(x)\) 为分成 \(x\) 段,最多有多少个超过 \(S\) 的.然后你会发现他不是凸的.因为他有很多平段,比如把两个很小的 ...

  8. Python 潮流周刊第一季完结(1~30)

    你好,我是猫哥.庆祝 Python 潮流周刊在几天前顺利更新到了第 30 期! 我觉得这是一个很有意义的时间节点,不太短也不漫长,很适合作一个小小的总结. 我打算今后每 30 期作为一季,都给大家做一 ...

  9. 01 MyBatis第一个应用程序

    1.MyBatis是什么? mybatis是一个基于java的持久层框架. 2.什么是持久化 数据由瞬态状态变为持久状态. 3.持久层: 完成持久化工作的代码块. -- DAO层,将数据存到数据库 4 ...

  10. java断言机制(assert)

    java断言机制(assert) 概述 断言使用的时候不是很多,测试时会使用,springboot中也有使用,总的来说断言还是要慎重. 在Java中,同样也有assert关键字,表示断言 在Java中 ...