侵入テスト-手動および自動化

手動侵入テストと自動侵入テストの両方が同じ目的で実施されます。 それらの間の唯一の違いは、それらが行われる方法です。 名前が示すように、手動侵入テストは人間（この分野の専門家）によって行われ、自動侵入テストはマシン自体によって行われます。

この章は、両方の用語の概念、相違点、および適用性を学習するのに役立ちます。

手動侵入テストとは何ですか？

手動侵入テストは、人間が行うテストです。 この種のテストでは、マシンの脆弱性とリスクが専門技術者によってテストされます。

一般的に、テストエンジニアは次の方法を実行します-

• データ収集-データ収集はテストで重要な役割を果たします。 手動でデータを収集するか、オンラインで無料で入手できるツールサービス（Webページのソースコード分析手法など）を使用できます。 これらのツールは、テーブル名、DBバージョン、データベース、ソフトウェア、ハードウェア、またはさまざまなサードパーティプラグインなどの情報を収集するのに役立ちます
• 脆弱性評価-データが収集されると、テスターがセキュリティの弱点を特定し、それに応じて予防措置を講じるのに役立ちます。
• 実際のエクスプロイト-これは、専門のテスターがターゲットシステムで攻撃を開始するために使用する典型的な方法であり、同様に攻撃のリスクを減らします。
• レポートの準備-侵入が完了すると、テスターはシステムに関するすべてを説明する最終レポートを準備します。 最後に、レポートを分析して、ターゲットシステムを保護するための修正手順を実行します。

手動侵入テスト

手動侵入テストの種類

手動侵入テストは通常​​、次の2つの方法で分類されます-

• Focused Manual Penetration Testing -特定の脆弱性とリスクをテストする非常に焦点を絞った方法です。 自動化された侵入テストでは、このテストを実行できません。特定のドメイン内の特定のアプリケーションの脆弱性を調査する人間の専門家によってのみ行われます。
• 包括的な手動侵入テスト-相互に接続されたシステム全体のテストを通じて、あらゆる種類のリスクと脆弱性を特定します。 ただし、このテストの機能は、複数の低リスク障害がより脆弱な攻撃シナリオをもたらす可能性があるかどうかを調査するなど、より状況に応じたものです。

自動化された侵入テストとは何ですか？

自動化された侵入テストは、マシンの脆弱性とリスクを自動的にテストする、はるかに速く、効率的で、簡単で、信頼性があります。 この技術は専門技術者を必要とせず、この分野の知識がほとんどない人でも実行できます。

自動化された侵入テストのツールは、Nessus、Metasploit、OpenVA、backtract（シリーズ5）などです。 これらは、侵入テストの効率と意味を変えた非常に効率的なツールです。

ただし、次の表は、手動と自動の侵入テストの基本的な違いを示しています-