■ 北京 李賀

編者按：自動化憑借極高的工作效率，在滲透測試領(lǐng)域帶來意想不到的效果，那么自動化滲透測試工具能夠代替甚至取代人工方式嗎？本文將對此進(jìn)行解析。

在過去幾年中，自動化在網(wǎng)絡(luò)安全許多細(xì)分領(lǐng)域中的應(yīng)用已急劇增加，但似乎滲透測試仍然沒有受到“影響”。

盡管在過去眾包安全已發(fā)展成為滲透測試的替代方法，但它不是基于自動化的，并且也面臨許多問題，同時也存在一些不足之處。而在近期，某些自動化滲透測試工具出現(xiàn)在人們的視野中，那么它們現(xiàn)在可以代替人工滲透測試嗎？

自動化滲透測試工具是如何工作的？

要回答這個問題，我們首先需要了解其工作原理，更重要的是，需弄清楚它們不能做什么。過去一年中，筆者對它們與同類人工滲透測試工具進(jìn)行了比較，最為感觸的是這些自動化工具的發(fā)展速度非常驚人，甚至在寫過這篇文章之后可能就已經(jīng)過時了。

首先，滲透測試的“交付”是由代理或VM 完成的，該代理或VM 有效地模擬了滲透測試的計算機及攻擊代理侵入網(wǎng)絡(luò)的過程。然后，滲透測試機器人將通過執(zhí)行人工需要執(zhí)行的掃描來在其環(huán)境中進(jìn)行偵查。因此，用戶經(jīng)常會在滲透測試機器人中使用其選擇的工具或僅使用Nmap 或Masscan 來進(jìn)行漏洞掃描。一旦確定了它們在環(huán)境中的位置，它們就會對所發(fā)現(xiàn)的內(nèi)容進(jìn)行過濾。這些也是它們與漏洞掃描程序的相似之處。

但漏洞掃描程序僅能列出一系列漏洞和潛在漏洞，而這些漏洞和潛在漏洞沒有關(guān)于其可利用性的上下文，并且僅通過CVE 和CVSS 分?jǐn)?shù)來說明某系統(tǒng)易受攻擊程度，但不能很好地解決誤報問題。

然后，自動化滲透測試工具將從目標(biāo)列表中選擇“最佳”系統(tǒng)來實施入侵，并根據(jù)漏洞利用的難易程度、噪聲和其他類似因素做出決策。例如，如果安裝的Windows 系統(tǒng)包含“永恒之藍(lán)”漏洞，那么它可能比暴力破解開放的SSH 端口更易受到入侵。

一旦獲得立足點，它就會通過網(wǎng)絡(luò)傳播自己，模仿人工滲透測試者或攻擊者的行為。但是唯一的不同是，它實際上是在設(shè)備上安裝了自己代理的版本，并從那里作為其另一個核心（不同供應(yīng)商的操作方式有所不同）。

然后，它會從頭開始重新啟動該過程，但是這次還可以確保它對所入侵的設(shè)備進(jìn)行取證調(diào)查，以提供更多的支持以繼續(xù)其在網(wǎng)絡(luò)中的入侵。如果可能的話，它還將在此處轉(zhuǎn)儲密碼哈?；虿檎矣簿幋a的憑據(jù)或SSH 密鑰。然后它將在下一輪入侵中將其添加到庫中。因此，盡管以前它可能只是重復(fù)了掃描/ 利用/ 數(shù)據(jù)透視功能，但這次它將嘗試通過哈希攻擊或嘗試使用剛剛竊取的密鑰連接到SSH 端口。然后，它將再次從此處重復(fù)之前的行為，依此類推。

您或許發(fā)現(xiàn)這與一個人工滲透測試的行為有很多相似之處，的確是這樣：這其中很多也正是攻擊者的行為方式。這些工具集是相似的，并且用于攻擊的技術(shù)和理念在許多方面也都相同。

不同之處有哪些？

首先，自動化滲透測試比傳統(tǒng)的滲透測試方法（以及表現(xiàn)混亂的眾包方法）具有一些優(yōu)勢。

測試和報告的速度要快很多數(shù)量級，并且報告的可讀性實際上也非常高（在通過某些QSA 驗證后，它們還將通過各種PCI DSS 滲透測試要求）。

由人工起草的報告通常要等待幾天或幾周時間，而自動化滲透測試在很短時間就可以進(jìn)行幾輪質(zhì)量檢查，然后再交付。這也是人工滲透測試的主要弊端之一，連續(xù)交付的過程已導(dǎo)致許多人工滲透測試報告在交付后就過時了——因為在完成測試后，測試環(huán)境已經(jīng)進(jìn)行了更新，因此可能會引入潛在的漏洞和錯誤配置，而這些問題和錯誤配置在滲透測試時并未出現(xiàn)。這就是為什么傳統(tǒng)的人工滲透測試更像是特定時間點的安全狀況快照。

自動化滲透測試工具可以每天兩次或每次隨時更改測試，幾乎可以立即交付報告，從而克服了人工滲透測試的限制。

第二個優(yōu)點是切入點。人工滲透測試需要給定一個進(jìn)入網(wǎng)絡(luò)的特定入口點，而一個自動化滲透測試工具可以從不同的入口點多次運行相同的滲透測試，以發(fā)現(xiàn)網(wǎng)絡(luò)中易受攻擊的地方，并根據(jù)入口點監(jiān)視各種影響情況。當(dāng)然從理論上講，這對于人工操作也是可行的，但由于每次都需要為不同的測試付費，因此投入成本很高。

不足之處有哪些？

1.自動化滲透測試工具完全不了解Web 應(yīng)用程序。盡管它們會在端口或服務(wù)級別檢測到類似Web 服務(wù)器的內(nèi)容，但他們無法理解用戶的內(nèi)部API 中存在的IDOR漏洞，或者內(nèi)部網(wǎng)頁中存在的SSRF（可用于進(jìn)一步擴展）。這是因為當(dāng)前的網(wǎng)絡(luò)堆棧非常復(fù)雜，即使是專業(yè)的掃描工具（例如Web 應(yīng)用程序掃描工具）也很難檢測到潛在的漏洞（例如XSS 或SQLi）。

2.用戶只能在網(wǎng)絡(luò)內(nèi)部使用自動化滲透測試工具。由于大多數(shù)公司基礎(chǔ)架構(gòu)都是基于Web 的，并且自動化滲透測試工具無法理解這些內(nèi)容，因此用戶仍然需要使用傳統(tǒng)人工的滲透測試，來對外部進(jìn)行測試。

總而言之，該技術(shù)顯示出巨大的希望，但仍處于起步階段，雖然它們還沒有準(zhǔn)備好使人類滲透測試者變得多余，但它們確實在應(yīng)對當(dāng)今的進(jìn)攻性安全挑戰(zhàn)中發(fā)揮了作用，而這些挑戰(zhàn)如果沒有自動化就無法解決。