自動化滲透測試工具初探

  1. 為什麼需要自動化的滲透測試工具
  2. 自動化滲透測試與弱點掃描比較
  3. 結語

By Howard

按個開始按鈕,喝杯咖啡等待一小段時間,所有的檢測任務全都自動完成,包含偵查網路端口開了哪些port、系統版本比對是不是過舊,甚至系統網路設定有哪些弱點全部都檢測出來,只需要觀看結果報告就可以確切知道當前設備有哪些已知弱點漏洞,是所有資安工程師的夢想,不僅大幅降低資訊安全檢測花費的時間,更是減少執行工作的人力成本。查看結果、驗證仍須有專業資安知識有利於資安檢測的執行以及普及化。

自動化滲透測試 V.S. 弱點掃描:

目前市面上是否已經有資安檢測模式達到自動化的的情境呢?有的,弱點掃描已經發展到接近全自動的程度,按個開始按鈕一掃描下去,便可以檢測出已知的常見資安漏洞,甚至非資安專業的人員照著步驟也有機會能在短時間內學會使用弱點掃描工具,是一個簡易化的檢測方案。但弱點掃描的檢測深度卻難以與滲透測試相比,其中的原因是弱點掃描工具多數僅能將每個弱點單獨檢視,較難針對弱點進一步挖掘是不是存在其他連帶的漏洞,並梳理每個漏洞可能的關聯性。如果做個簡單的比喻,有個網頁登入口,在帳號密碼未知的情況下,弱掃僅能檢視登入口的安全性,難以進一步檢測出登入口的驗證碼機制是否不妥,因此這時候就會需要進行滲透測試。滲透測試一般會由具有豐富經驗的資安專家進行技術檢測,深度挖掘漏洞的連帶關係以及可能產生的危害,甚至會使用盲測的方式找出新的資安漏洞。但擁有如此資安技術的專家不多,除了從頭開始培養相關人才外,難到沒有其他方法嗎?有的,假如可以結合弱點掃描的自動化特性,在滲透測試的檢測面上即可大幅降低專家的依賴程度,也可進一步節省大量的檢測時間,降低資安工程師的門檻。

那麼市面上除了自動化的弱點掃描、滲透測試之外,還有沒有其他自動化的檢測項目解決方案呢?當!然!有!三甲科技推出自動化的資安健診平台,針對個人電腦、伺服器進行自動化資安健診,只需簡單的幾個步驟,即使不是資訊人員,沒有電腦背景、透過簡單介面使用學習,動動手將資料上傳至雲端,即可針對電腦、伺服器環境進行健康檢查,而且也不需耗費寶貴的電腦運算資源。太棒了,爸爸媽媽再也不用擔心我的電腦、伺服器不健康了。心動不如馬上行動,三甲科技全新推出接近全自動化的資安健診平台~您值得擁有!

Reference

[1]、2021/07/30,關於自動化滲透測試的理念,W3C學習教程https://www.w3study.wiki/a/202107/455158.html

[2]、淺析滲透測試之手動和自動的優缺點,每日頭條

https://read01.com/jNg7AMD.html#.YhSxGuhBxPY

[3]、滲透測試與自動化安全測試工具比較,IT人

https://iter01.com/653450.html