Penetration-testing-manual-automated
提供:Dev Guides
侵入テスト-手動および自動化
手動侵入テストと自動侵入テストの両方が同じ目的で実施されます。 それらの間の唯一の違いは、それらが行われる方法です。 名前が示すように、手動侵入テストは人間(この分野の専門家)によって行われ、自動侵入テストはマシン自体によって行われます。
この章は、両方の用語の概念、相違点、および適用性を学習するのに役立ちます。
手動侵入テストとは何ですか?
手動侵入テストは、人間が行うテストです。 この種のテストでは、マシンの脆弱性とリスクが専門技術者によってテストされます。
一般的に、テストエンジニアは次の方法を実行します-
- データ収集-データ収集はテストで重要な役割を果たします。 手動でデータを収集するか、オンラインで無料で入手できるツールサービス(Webページのソースコード分析手法など)を使用できます。 これらのツールは、テーブル名、DBバージョン、データベース、ソフトウェア、ハードウェア、またはさまざまなサードパーティプラグインなどの情報を収集するのに役立ちます
- 脆弱性評価-データが収集されると、テスターがセキュリティの弱点を特定し、それに応じて予防措置を講じるのに役立ちます。
- 実際のエクスプロイト-これは、専門のテスターがターゲットシステムで攻撃を開始するために使用する典型的な方法であり、同様に攻撃のリスクを減らします。
- レポートの準備-侵入が完了すると、テスターはシステムに関するすべてを説明する最終レポートを準備します。 最後に、レポートを分析して、ターゲットシステムを保護するための修正手順を実行します。
手動侵入テストの種類
手動侵入テストは通常、次の2つの方法で分類されます-
- Focused Manual Penetration Testing -特定の脆弱性とリスクをテストする非常に焦点を絞った方法です。 自動化された侵入テストでは、このテストを実行できません。特定のドメイン内の特定のアプリケーションの脆弱性を調査する人間の専門家によってのみ行われます。
- 包括的な手動侵入テスト-相互に接続されたシステム全体のテストを通じて、あらゆる種類のリスクと脆弱性を特定します。 ただし、このテストの機能は、複数の低リスク障害がより脆弱な攻撃シナリオをもたらす可能性があるかどうかを調査するなど、より状況に応じたものです。
自動化された侵入テストとは何ですか?
自動化された侵入テストは、マシンの脆弱性とリスクを自動的にテストする、はるかに速く、効率的で、簡単で、信頼性があります。 この技術は専門技術者を必要とせず、この分野の知識がほとんどない人でも実行できます。
自動化された侵入テストのツールは、Nessus、Metasploit、OpenVA、backtract(シリーズ5)などです。 これらは、侵入テストの効率と意味を変えた非常に効率的なツールです。
ただし、次の表は、手動と自動の侵入テストの基本的な違いを示しています-
Manual Penetration Testing | Automated Penetration Testing |
---|---|
It requires expert engineer to perform the test. | It is automated so even a learner can run the test. |
It requires different tools for the testing. | It has integrated tools does required anything from outside. |
In this type of testing, results can vary from test to test. | It has fixed result. |
This test requires to remember cleaning up memory by the tester. | It does not. |
It is exhaustive and time taking. | It is more efficient and fast. |
It has additional advantages i.e. if an expert does pen test, then he can analyze better, he can think what a hacker can think and where he can attack. Hence, he can put security accordingly. | It cannot analyze the situation. |
As per the requirement, an expert can run multiple testing. | It cannot. |
For critical condition, it is more reliable. | It is not. |