以下小白總結(jié)了滲透試驗(yàn)與漏洞掃描的區(qū)別：

1）概念

2）操作方式

3）性質(zhì)

4）消耗成本和事件

一、概念

滲透：滲透沒有標(biāo)準(zhǔn)定義，一些外國安全組織達(dá)成共識(shí)；一種通過模擬惡意黑客攻擊來評(píng)估計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的評(píng)估方法。該過程包括積極分析系統(tǒng)的任何弱點(diǎn)、技術(shù)缺陷或漏洞，從攻擊者可能存在的位置進(jìn)行，并有條件積極利用安全漏洞。

滲透有兩個(gè)顯著的特點(diǎn)：1。滲透是一個(gè)逐漸深入的過程，從淺到深，一步一步地刺向目標(biāo)的心臟，即所謂的目標(biāo)抓取器。2、滲透一方面從攻擊者的角度，檢查業(yè)務(wù)系統(tǒng)的安全保護(hù)措施是否有效，安全策略是否習(xí)慣實(shí)施，另一方面，滲透將突出潛在的安全風(fēng)險(xiǎn)，滲透后，向客戶編寫滲透報(bào)告，立即安全加固，解決中發(fā)現(xiàn)的安全問題。

滲透試驗(yàn)通常分為黑盒試驗(yàn)、白盒試驗(yàn)和灰盒試驗(yàn)。至于這三者的區(qū)別，小白就不一一描述了。

另一方面，看看漏洞掃描的洞掃描的含義。漏洞掃描簡(jiǎn)稱漏洞掃描，是指基于漏洞數(shù)據(jù)庫，通過掃描等手段檢測(cè)*遠(yuǎn)程或本地計(jì)算機(jī)系統(tǒng)的安全檢測(cè)，發(fā)現(xiàn)漏洞的安全檢測(cè)。我們通常在工作中使用漏洞掃描工具NESSUS、awvs、OpenVAS、NetSparker、OWASP ZAP等待工具。一般的漏洞掃描分為網(wǎng)絡(luò)掃描和主機(jī)掃描。通過漏洞掃描，掃描者可以找到遠(yuǎn)程網(wǎng)絡(luò)或主機(jī)的配置信息TCP/UDP端口分配、網(wǎng)絡(luò)服務(wù)、服務(wù)器具體信息等。

2、流程滲透的一般過程主要包括明確的目標(biāo)、信息收集、漏洞檢測(cè)、漏洞驗(yàn)證、信息分析、獲取所需、信息整理和報(bào)告的形成。滲透操作困難，滲透范圍也有針對(duì)性，需要人工參與。我聽說過漏洞自動(dòng)化掃描，但你永遠(yuǎn)聽不到世界上有自動(dòng)化滲透。在滲透過程中，信息安全滲透人員使用大量工具，需要非常豐富的專家進(jìn)行，這在一兩個(gè)月的培訓(xùn)中是無法實(shí)現(xiàn)的。漏洞掃描是在網(wǎng)絡(luò)設(shè)備中發(fā)現(xiàn)的現(xiàn)有漏洞，如防火墻、路由器、交換機(jī)服務(wù)器等。該過程是自動(dòng)化的，主要針對(duì)網(wǎng)絡(luò)或應(yīng)用層中的潛在和已知漏洞。漏洞掃描不涉及漏洞的使用。漏范圍內(nèi)進(jìn)行，需要自動(dòng)化工具來處理大量資產(chǎn)。其范圍大于滲透。漏洞通常由系統(tǒng)管理員或具有良好的網(wǎng)絡(luò)知識(shí)的產(chǎn)品進(jìn)行。ping掃描，端口掃描，OS檢測(cè)、脆弱性檢測(cè)、防火墻掃描五大技術(shù)，每一種技術(shù)實(shí)現(xiàn)的目標(biāo)和應(yīng)用原不一樣，ping在互聯(lián)網(wǎng)層進(jìn)行掃描；在傳輸層進(jìn)行端口掃描和防火墻探測(cè)；OS探測(cè)、脆弱性探測(cè)工作在互聯(lián)網(wǎng)層、傳輸層、應(yīng)用層。ping掃描主要是確定主機(jī)IP地址、端口掃描檢測(cè)目標(biāo)主機(jī)的端口開啟，然后根據(jù)端口掃描結(jié)果進(jìn)行OS掃描探測(cè)和脆弱點(diǎn)。

一般來說，會(huì)購買自動(dòng)漏洞掃描產(chǎn)品，每天或每周定期進(jìn)行漏洞掃描，類似于在計(jì)算機(jī)上安裝防病毒軟件，每天只需要掃描，定期進(jìn)行防病毒。滲透在新產(chǎn)品在線，在服務(wù)器上有非常重要的數(shù)據(jù)，害怕泄漏、盜竊，讓專業(yè)安全制造商定期進(jìn)行人工滲透?？梢钥闯觯瑑烧卟⒉华?dú)立，但也需要結(jié)合使用，以達(dá)到較佳效果，的信息安全。

三、性質(zhì)

滲透更具侵略性，試圖利用各種技術(shù)手段攻擊真實(shí)的生產(chǎn)環(huán)境；相反，漏洞掃描只能以非侵略性的方式仔細(xì)定位和量化系統(tǒng)的所有漏洞。

四、消耗成本和時(shí)間

與我們都知道滲透和漏洞掃描的成本和時(shí)間相比，一般來說，滲透需要各種準(zhǔn)備工作，早期信息資產(chǎn)收集越全面，后期滲透越深，不僅是一個(gè)從淺到深的過程，而且是一個(gè)連鎖反應(yīng)；比漏洞掃描消耗的時(shí)間要小得多。在我們向客戶提供滲透和漏洞掃描之前，我們會(huì)遇到客戶抱怨?jié)B透比漏洞掃描成本高幾倍的投資。然而，通過介紹滲透過程，價(jià)格并不高，畢竟，大量的人力、物質(zhì)資源和較終輸出結(jié)果的早期投資。在一個(gè)項(xiàng)目周期中，滲透的數(shù)量通常是2-4第二，新業(yè)務(wù)上線是必須的。漏洞掃描一般是定期自動(dòng)掃描。

總之，漏洞掃描和滲透的結(jié)合可以獲得較佳效果，幫、部門或?qū)嵺`的控制措施——漏洞掃描和滲透非常重要，應(yīng)用于不同的目的，產(chǎn)生不同的結(jié)果。

http://cabgv.cn