發現和利用web應用登入機制、使用者會話管理和sql注入中的漏洞同樣是如此。同樣地,單個函式(例如發現sql注入和從資料庫提取資料)也可以實現自動化,但整個過程不能被自動化。這個過程需要人類互動和專業知識來知道在**定位漏洞利用以及如何獲得最好的結果。
工具只是輔助
人們對自動化的渴望讓流行的漏洞掃瞄器中新增了很多新功能,例如acu***ix web漏洞掃瞄器(該工具善於破解web應用中的密碼)以及metasploit pro(可用於獲取命令提示符以及建立後門程式)。
但即使這些工具也不能完全自動化這個過程。例如,通過metasploit pro,it必須首先執行漏洞掃瞄器(例如nexpose或nessus)來發現漏洞。metasploit pro和商業漏洞掃瞄工具的使用者介面和很簡單,但並不是每個滲透測試工具都簡單,對於缺乏技術知識的人來說,這是乙個問題。
現在的滲透測試的最大好處是,市面上有豐富的安全測試工具可以讓滲透測試人員在幾分鐘內破解未加密筆記本或無線網路的密碼,或者簡單地發起調子郵件釣魚活動。網路共享和訪問不安全pii可以非常迅速實現。但這些並不能完全自動化。
就像放射科人員和房屋檢查人員,滲透測試人員可以採用先進的工具,但發現、列舉和報告結果不能完全自動化,並且,筆者認為未來可能仍然會這樣。
深度安全審查需要的不僅僅是輸入ip位址或者url再單擊確定。當然,程式和工作流程可以變得更有效,但創造力和過往實戰經驗將決定最終的勝負。最後,無論滲透測試發現了多少「漏洞利用」,it專業人員仍然需要確定哪些是真正的安全風險以及哪些不是。
【編輯推薦】
1. 移動app安全在滲透測試中的應用
2. pci dss:為什麼漏洞評估和滲透測試那麼難?
3. python內網滲透測試資訊收集指令碼v1.0(開源)
4. 自動化滲透測試工具——heybe
5. 自動化滲透測試二三事
如何利用辦公自動化系統進行知識管理
一 知識管理 知識管理就是為企業實現顯性知識和隱性知識共享尋找新的途徑。知識管理型企業能夠迅速對外部需求作出反應 精明地運用內部資源 外部市場的發展方向及其變化。雖然要做到這一點需要從根本上改變企業的經營方向和領導方式,但是它具有巨大的潛在效益。弗拉保羅說 知識管理就是運用集體的指揮提高應變和創新能...
機械製造過程的自動化控制方法
2.2自動化加工生產控制 機械生產加工的自控能力很差,一旦出現生產程式設計資料錯誤或裝置陷入非正常生產狀態等現象,則以 故障 為節點的後續生產工作都會受到相應的影響 如表1所示 自動化加工在生產控制中需要進行週期性的監督和管理,有效的監督和管理會增加商品質量,檢修出來的故障被及時修復,會弱化失誤資料...
如何做更好的UI自動化測試
1 為什麼我們需要ui自動化測試?ui自動化測試的focus應該在哪幾個方面?測試自動化並不是為了贏得老闆的讚賞,或者認為這是乙個很潮的技術,不用就會落後,而是為了發現問題,提高產品的質量。做ui自動化測試的主要目的也是基於此的。除此之外,ui自動化測試還可以從乙個終端使用者 end user 的角...