手动渗透测试和自动渗透测试都是出于相同目的而进行的。它们之间的唯一区别是它们的执行方式。顾名思义，手动渗透测试是由人类(该领域的专家)完成的，而自动渗透测试则是由机器本身完成的。

本章将帮助您学习这两个术语的概念，差异和适用性。

什么是人工渗透测试?

手动渗透测试是人类进行的测试。在这种类型的测试中，机器的脆弱性和风险由专家工程师进行测试。

通常，测试工程师执行以下方法-

• 数据收集-数据收集在测试中起着关键作用。一个人可以手动收集数据，也可以使用在线免费提供的工具服务(例如网页源代码分析技术等)。这些工具有助于收集信息，例如表名，数据库版本，数据库，软件，硬件，甚至有关不同的第三方插件等。

• 漏洞评估-收集数据后，它可以帮助测试人员识别安全漏洞并采取相应的预防措施。

• 实际利用-这是专家测试人员用来对目标系统发起攻击的一种典型方法，同样可以降低遭受攻击的风险。

• 报告准备-渗透完成后，测试人员将准备一份最终报告，该报告描述有关系统的所有信息。最后，分析报告以采取纠正措施以保护目标系统。

手动渗透测试的类型

手动渗透测试通常按以下两种方式进行分类-

• 重点突出的手动渗透测试-这是测试特定漏洞和风险的重点突出的方法。自动渗透测试无法执行此测试；它仅由检查给定域内特定应用程序漏洞的人类专家完成。

• 全面的手动渗透测试-通过测试相互连接的整个系统来识别各种风险和脆弱性。但是，此测试的函数更多地是根据情况而定，例如调查多个较低风险的故障是否可以带来更易受攻击的攻击情况等。

什么是自动渗透测试?

自动化渗透测试更快，更高效，更容易且更可靠，可自动测试机器的漏洞和风险。该技术不需要任何专家工程师，而是可以由对此领域知识最少的任何人来运行。

Nessus，Metasploit，OpenVA，backtract(系列5)等用于自动渗透测试的工具。这些非常有效的工具改变了渗透测试的效率和含义。

但是，下表说明了手动渗透测试和自动渗透测试之间的根本区别-