上半年,时断时续的网络安全事件已经过去,下半年的事件又不得不重新开始。最近有意思的是,我的一个朋友几天前去参加一个技术面试,被一个简单的问题“渗透测试和漏洞扫描有什么区别”甩了,当时,我也有点困惑。说实话,对于一个小白新手来说,两者的区别可能是一、二、三。对于当时的面试官,我是否也会说这两个是不同的呢?不管怎么说,这都是关于发现漏洞,使用漏洞,采取服务器webshell,提高权利,内网渗透,权限维护等。但如果你给出这样的技术答案,你会像我的朋友一样不及格,如果你遇到一个好心的面试官,你可能会留下来观察。我们来谈谈两者的区别。![]
以下几点总结了渗透测试和漏洞扫描之间的区别:
1) 概念
2) 工作流
3) 问题的性质
4) 消费成本和事件
一、概念
渗透测试:渗透测试没有一个标准的定义,国外一些安全机构达成了共识的一般性表述;通过模拟恶意黑客的攻击方法来评估计算机网络系统安全性的一种方法。此过程包括从攻击者能够主动利用安全漏洞的可能位置对系统中的任何弱点、技术缺陷或漏洞进行主动、主动的分析。
渗透试验有两个显著特点:1.渗透试验是一个循序渐进、逐步深入的过程,从浅到深,一步一步地刺穿目标的心脏,就是所谓的目标捕捉机。2、渗透测试一方面,从攻击者的角度出发,检查业务系统的安全防护措施是否有效,安全策略是否被采用,以削减执行力度,另一方面,渗透测试将潜在的安全风险以真实事件的形式凸现出来,经过渗透测试后,渗透检测报告反馈给客户编写,立即进行安全检测,解决检测发现的安全问题。
渗透测试通常分为黑盒测试、白盒测试、灰盒测试。至于这三种类型的区别,小白在这一叙述中是不同的。
依次来看漏洞扫描的含义,漏洞扫描简称漏洞扫描是基于漏洞数据库,通过扫描等手段对指定的远程或本地计算机系统进行安全漏洞检测,用于查找可用漏洞的安全检测。我们通常在工作中使用Nessus、AWVS、OpenVAS、Netsparker和OWASP-ZAP等工具。一般漏洞扫描分为网络扫描和主机扫描。通过漏洞扫描,扫描程序可以发现远程网络或主机的配置信息、TCP/UDP端口分配、提供的网络服务、服务器的具体信息等。
2、 工作流程
渗透测试的一般过程包括明确目标、信息收集、漏洞检测、漏洞验证、信息分析、获取需求、信息整理、测试报告形成等。渗透试验操作难度大,渗透试验范围有针对性,需要人的参与。我听说过漏洞自动扫描,但你听不到世界上有自动渗透测试。在渗透测试的过程中,信息安全渗透人员使用了大量的工具,同时,它需要一个非常丰富的专家来进行测试,不是一两个月就能实现培训的。
漏洞扫描是发现网络设备中存在的漏洞,如防火墙、路由器、交换机服务器等应用程序。该过程是自动的,主要针对网络或应用层上的潜在和已知漏洞。漏洞扫描过程不涉及漏洞的利用。漏洞扫描在整个公司进行,需要自动化工具来处理大量资产。比渗透测试的范围大。漏洞扫描产品通常由具有良好网络知识的系统管理员或安全人员操作。为了有效地使用这些产品,我们需要具备特定于产品的知识。
漏洞扫描主要包括Ping扫描、端口扫描、操作系统检测、漏洞检测和防火墙扫描。每种技术的目标和原则都是不同的。Ping扫描工作在互联网层;传输层的端口扫描和防火墙检测工作;操作系统检测和漏洞检测工作分为互联网测试层、传输层和应用层。Ping扫描主要确定主机的IP地址,端口扫描检测目标主机的端口打开情况,然后根据端口扫描结果进行操作系统检测和漏洞点扫描
一般来说,大公司会购买自动漏洞扫描产品,可以每天或每周定期扫描。类似于在电脑上安装杀毒软件,每天只能定期安装一次。但渗透测试是在新产品上线时,或是发现公司服务器上有非常重要的数据,怕泄露、被窃取,并让专业安全厂商定期进行手工渗透测试。
由此可见,两者并不独立,需要共同使用才能达到最佳效果,确保公司的信息安全。
三、性质
渗透测试的侵略性要强很多,它会试图使用各种技术手段攻击真实生产环境;相反,漏洞扫描只会以一种非侵略性的方式,仔细地定位和量化系统的所有漏洞。
我们可以结合案例来说一下漏洞扫描与渗透测试的区别:
这里我们已Nessus为例做漏洞扫描测试,现在的Nessus扫描的IP地址的个数做了限制,貌似只能扫描16个主机IP,但是小白我在朋友的帮助下搞到了一个Nessus的虚机版本。首先先本地打开https://192.168.205.149:8834,Nessus登陆的端口一般是8834,小白我本地扫描了一下我的虚机主机。
扫描的结果可以导出来进行本地查看的: 以上就是Nessus漏洞扫描的步骤,一般会发现主机开启的端口、运行的服务、系统漏洞、溢出漏洞、中间件(低版本的会输出中高低漏洞标识)、ssl版本低的问题,这些漏扫主要的输出成果。就如同上述所说漏洞扫描是仔细地定位和量化系统的所有漏洞,而渗透测试则是利用各种攻击手段(在授权的情况下)对真实环境或者测试环境进行攻击。不限于社会工程学。相比漏洞扫描要做的工作多的多。
一般做漏洞扫描在内网做的比较多,客户给你主机资产列表,然后你根据资产列表的ip地址添加到漏洞扫描设备中进行自动化的扫描。而渗透测试(白盒、黑盒、灰盒),我在渗透测试中主要做黑盒测试,相比大家都知道黑盒测试前期是非常枯燥的,需要自己去寻找目标的相关资产。比如挖子域名、跑敏感目录、扫端口等,前期收集信息的多少就决定后期渗透的程度。一般的渗透测试报告输出格式为一下:
四、消耗成本以及时间
相比大家都知道渗透测试与漏洞扫描的成本以及消耗的时间,一般来说渗透测试需要前期的各种准备工作,前期信息资产收集的越全面,后期的渗透就会越深入,不仅是一个由浅入深的过程,更是一个连锁反应;相比漏洞扫描这个消耗的时间就要小的多了。之前我们在对客户做渗透和漏扫进行报价的时候都会遇到客户抱怨渗透比漏扫花费的经费高好几倍。但是通过介绍渗透测试的流程也就不觉得价格高,毕竟前期投入的大量人力、物力以及最后输出的成果。一个项目周期的话渗透测试次数一般在2-4次,新的业务上线这个是必做的。漏洞扫描一般都是定时自动化扫描的。
总而言之,漏洞扫描和渗透测试二者结合,才能得到最佳的效果,帮助确定最适合于公司、部门或实践的控制措施——无论是漏洞扫描还是渗透测试都非常重要,应用于不同的目的,产生不同的结果。