自動測試
自動測試指藉助系統和應用掃描工具對站點的系統層和應用層進行全面的安全掃描,來檢測目標系統中是否包含已知的安全問題。
優點
藉助自動化檢測工具,檢測速度較快
對已知漏洞的檢測較爲全面
缺點
自動化工具對於某些特殊的信息無法實現自動甄別
一些複雜的客戶端腳本無法完全實現自動檢測
一些具有較強邏輯性的業務無法通過自動化工具實現檢測
自動化工具均無法避免誤報
手動測試
手動測試作爲自動測試的一種補充,會在深度與廣度兩方面彌補自動化測試的不足,是保障滲透測試質量的一個重要手段,也是滲透測試的精髓所在。手動測試由測試人員進行操作,測試人員的個人技能和經驗會直接影響手動測試的結果。
手動測試主要涵蓋以下幾個方面:
對自動測試結果的驗證
自動化檢測工具難免存在誤報,因而手動測試需要篩選出自動化檢測中的誤報結果,同時還要對正確告警的結果進行驗證和再利用,以確認其危險程度與自動掃描結果一致。
個性化頁面信息的人工甄別
多數自動化測試工具,都是以返回頁面中的關鍵字或 HTTP 的狀態值作爲判斷條件,而某些經過精心構造的個性化頁面,其返回內容可能無法完全由自動化工具進行判斷,這樣的站點就需進行手動測試。
JavaScript 測試
隨着 Web2.0 的興起,JavaScript 被廣泛使用,而自動化掃描工具對 JavaScript 腳本的解析能力不強,在自動掃描過程中難免遺漏,因此,需要手動對自動化掃描工具無法解析的、含有 JavaScript 腳本的頁面進行二次測試,以檢測其安全性。
提交數據的精細化測試
自動化測試在對提交數據進行構造時,其構造方式均遵循一定的規律,而手動測試則可避免這樣的問題出現。因此某些可從本地構造惡意數據並提交測試的頁面,需手動進行深度測試。
業務邏輯的安全測試
業務邏輯相對來說與程序本身關係不大,無論使用什麼樣的自動化檢測工具都無法檢測業務邏輯的正確與否。由此就需要人工先對已有業務邏輯進行分析判斷,再結合測試人員的經驗對業務邏輯安全性進行必要的檢測。