CDN加速

常见问题

更新时间:2020-04-26 15:22:39

Q:渗透测试跟漏洞扫描的区别?

a: 执行方式上,渗透测试需由经验丰富的安全专家手动进行,手段灵活,测试过程中专家会利用不同的漏洞进行组合式攻击,验证是否有任何方式一种方式可突破当前系统的防御。渗透测试为求仔细,通常需要费时多天才能完成,因此耗费的人力成本较高。而漏洞扫描可由自动化扫描软件在较短的时间内执行完毕,因此时间与金钱成本相对较低。但是漏洞扫描仅能检测既有的漏洞(漏洞库中的漏洞),无法及时检测出最新的安全漏洞、业务逻辑漏洞,对于漏洞的误判率也较高,最主要的是漏洞扫描缺乏对漏洞的利用。目前渗透测试为求完整,通常已将漏洞扫描包含在内。

渗透测试跟漏洞扫描的区别如下:

渗透测试 漏洞扫描
执行方式:专业专家手动执行 执行方式:自动化工具
手段灵活,利用不同漏洞、信息组合式攻击 手段单一
门槛高,测试者需要专业经验和专业知识 门槛低,工具安装完毕即可执行
针对性强,流量低 通常会产生较大流量,故建议漏洞扫描实施的时间节点为非高峰期
误报率低,专家可验证该漏洞的利用方式和价值 误报率高,工具无法确认该漏洞是否可被利用
创造力高,专家可能在渗透过程中找到无人发现的新漏洞 创造力低,有低价的商业工具或免费工具
专家会列出详细的攻击手法,并提供定制化的专业修补建议 列出漏洞列表,包含修补建议
成本高,通常价格是漏洞扫描的数倍 成本低,有低价的商业工具或免费工具

Q:漏洞扫描能够发现漏洞,为什么还需要渗透测试?

A:为了评估系统的脆弱性以提高安全防御能力,往往会采取各种方法,漏洞扫描、渗透测试、风险评估等。漏洞扫描能够发现一些常规的安全漏洞,能够较快的发现安全风险项,可以作为日常安全运营的重要手段,但是不能完全依赖,因为自动化扫描工具存在一定的局限性。没有一个单独的工具能够发现网络或web应用程序中所有的漏洞,特别是业务逻辑相关的漏洞,这是自动化工具无法发现的,而这些漏洞往往容易造成实际损失;此外,自动化工具误报率较高,特别是碰到安全设备的情况下,其往往无法绕过安全限制,无法探测实际存在的漏洞。最好的办法是漏洞扫描器和专家手动测试结合起来;相比漏洞扫描,渗透测试更加灵活,能够发现深层次的漏洞并利用,评估系统实际存在的缺陷;因此,推荐使用渗透测试服务。

Q:安全专家如何评估渗透测试项目?

A:安全专家从渗透测试工作内容、复杂度的角度来评估项目。渗透测试工作内容、复杂度主要跟渗透测试方式(黑盒、白盒)、目标系统规模、系统类型、业务类型、系统用途、使用人群、网络隔离情况、系统开发语言、数据库、网络拓扑、代码审计、测试目的等方面相关,安全专家根据获取到的信息综合评估,确定项目工作成本,给出项目报价。因此,在前期交涉过程中,应尽可能详尽咨询,详细参考《网宿渗透测试服务客户需求调查表》 。如客户需求有变更(增加或减少目标),应及时沟通,以避免造成损失。

Q:渗透测试一般周期多久?

A:对于一个网站进行高级渗透,一般需要十个工作日左右的工作量,需根据实际环境、需求细致评估。

Q:渗透测试结果交付内容有哪些?

A:网宿渗透测试服务完成之后,会根据渗透测试结果输出《渗透测试报告》,报告内容涉及:渗透测试方案说明(目标、目的、策略、风险规避等)、结果概览、漏洞详情分析(漏洞、漏洞原理、漏洞位置、漏洞验证、漏洞影响、漏洞间接影响评估、修复建议)、总结分析;并且,根据客户需求,可为客户漏洞修复提供一定的指导;最后,在客户修复完成之后进行复查,以确保漏洞被修复。

Q:渗透测试有何 风险?如何规避?

A:渗透测试过程中有很多可预见性和不可预见性的风险存在,为避免对客户业务系统造成重大影响,一般采取以下措施:

  • 避免在客户业务高峰期进行渗透测试;
  • 对重要业务、数据提前进行备份;
  • 渗透测试方案与客户相关业务人员确认后方可进行,特别是有高风险的行为;
  • 尽量使用测试系统进行测试;