渗透测试与主动和被动相结合漏洞扫描
![](http://www.yyueer.com/sites/default/files/images/articles/combining_pen_test_vuln_scanning_v1_03.png)
注意:这个2015的博客包括一些过时的信息。对如何利用最新的信息主动扫描和离线评估笔测试,请阅读我们的更新的博客如何最大化和Nessus渗透测试吗。
W虽然相似,渗透测试和脆弱性评估不是一回事。一起使用,然而,特别是如果你正在做的主动和被动漏洞扫描,他们可以是非常互补的。
脆弱性评估和渗透测试很相似,因为他们都寻找漏洞或缺陷
脆弱性评估和渗透测试很相似,因为他们都寻找漏洞或缺陷。漏洞评估,过程识别、量化和优化系统的漏洞。漏洞评估往往是高度自动化和在许多组织中,将确定成百上千的漏洞。渗透测试,有时称为穿透测试,是一种攻击,利用一个漏洞,这样一个测试人员(pentest)可以访问系统和数据。Pentesters使用工具来协助攻击;现代社会工程工具包和笔等工具测试框架其中使今天更加容易。但即使有工具,穿透测试手册技能和创造力同样重要发现可利用的系统,成功地映射网络,获取其他系统和测试防御。
关注渗透测试与主动扫描
主动扫描漏洞可以补充渗透测试。例如,如果一个穿透测试是在一个网站寻找一个可利用的洞,测试人员可以使用一个web应用程序扫描识别web应用程序易受跨站点脚本或SQL注入,然后探索这些地区更多的使用渗透测试工具或手工方法。
更重要的是,从时间和资源的角度来看,您可以使用扫描结果来识别领域pentest忽略。例如,如果扫描结果显示Adobe Flash脆弱,但您可以很容易地降低脆弱性通过应用一个补丁,补丁应用而不是使用穿透测试资源探索更多。
活跃的目标扫描应该是焦点渗透测试工作;不扩大他们
活跃的目标扫描应该是焦点渗透测试工作;不扩大他们。如果你使用渗透测试仔细检查一切你的积极发现扫描的解决方案是,因为你不是自信的结果,你只是增加更多的工作。
淬火系统漏洞扫描是必要的,以确保信息安全。这也是一个有用的方法集中渗透测试。在站得住脚的,我们Nessus扫描结果可以与流行的渗透测试工具集成,包括核心的影响,免疫帆布Rapid7 Metasploit,因此很容易开始渗透测试从一个坚实的基础。
发现未知的被动扫描
而主动扫描可以帮助你集中渗透测试工作,被动扫描可以帮助你识别那些未知的资产和可能存在的应用程序在您的网络但没有成功。被动扫描,使用工具如站不住脚的被动的漏洞扫描器(pv)、连续实时监控网络流量,并自动发现用户,基础设施和漏洞。例如,通过识别通信发生在非标准端口和/或识别未知的web应用程序托管在防火墙后面,pv测试领域当中的应用可以指导pentesters否则他们可能被忽视。
前一个渗透测试与被动扫描可以使生活极其容易穿透测试。非托管资产与漏洞和/或设置不符合政策的利用是伟大的目标。
作为奖励,站得住脚的被动的漏洞扫描器可以检测像Metasploit渗透测试软件的使用。如果有人正在使用一个网络渗透测试工具来闲逛没有授权,知道这是一件好事。
渗透测试和漏洞评估(主动和被动)是有用的和必要的保护您的网络
渗透测试和漏洞评估(主动和被动)是有用的和必要的保护您的网络。在站得住脚的,我们建议您使用起来,等待最好的结果。
相关文章
- Nessus
- Nessus网络监控
- 渗透测试
- 漏洞扫描