首先，網(wǎng)站越來越難以滲透到每個人提出的問題中，這表明安全防護技術和網(wǎng)站結構技術的成熟越來越完善。第二，某一技術方面的安全要求有所降低，這不能說明滲透測試行業(yè)整體處于低迷狀態(tài)。一方面，安全不僅包括技術安全(包括網(wǎng)絡系統(tǒng)漏洞)，還包括管理方法安全、物理安全和工業(yè)生產自動控制系統(tǒng)安全。其中，70%的安全問題是由于管理方法不當造成的，管理方法也是一個動態(tài)的全過程。因此，總的來說，制度存在漏洞。第三，針對滲透測試的具體步驟，可以從社會工程、管理方法的制度漏洞等方面考慮大量的切入點。隨著技術的發(fā)展和完善，滲透測試方法也應表現(xiàn)出交叉兼容性。總的來說，安全問題將是一個組織遇到的一個永久性問題，它將表現(xiàn)出一定程度的交叉性。滲透測試不僅僅局限于傳統(tǒng)的掃描、入侵測試、漏洞測試等。但也應該靈活運用組織協(xié)調和個人觀念的缺點。為什么在互聯(lián)網(wǎng)上免費下載的特殊工具不能掃描出安全問題？因為你可以免費下載，其他人也可以免費下載。只要在公司的安全部門有一個人可以使用這個特殊的工具，你就可以自己找到這個難題，不用你的手。十年前，許多公司在安全方面做得很差，甚至沒有網(wǎng)絡安全部門。因此，下載一個特殊的工具并掃描它可以發(fā)現(xiàn)許多問題。現(xiàn)在，一方面公司自身的安全工作能力有所提高，另一方面網(wǎng)站開發(fā)者的安全工作能力也有所提高。因此，如果十年前你總是用特殊的工具清掃，今天你一定會感到很辛苦。眾所周知，二十年前，你可以通過隨機尋找一個特殊的工具，在遠程訪問弱密碼和遠程控制溢出系統(tǒng)中發(fā)現(xiàn)許多漏洞。所以，20年前，這些滲透測試人員在發(fā)現(xiàn)系統(tǒng)中的漏洞(這些漏洞可以立即得到rootkit)消失后，也非常沮喪？不是的。他們剛剛開始研究注入、XSS、CSRF和反序列化。這就是為什么他們編寫了這些特殊的工具，你可以在網(wǎng)上免費下載。二元安全也是如此。二十年前，系統(tǒng)漏洞的發(fā)現(xiàn)和應用非常簡單。在過去的20年里，系統(tǒng)漏洞變得越來越難以發(fā)現(xiàn)和使用。但是二進制安全的技術方向已經(jīng)褪色了嗎？不僅沒有，而且發(fā)展趨勢很好。對于出生在普通家庭的人來說，工作中有難度系數(shù)和門檻是一件好事。如果工作不太難，通常不會賺錢。如果不會太難，而且你能掙錢，為什么別人會給你錢？你就不能找你自己的表弟和姐夫把它做好嗎？僅僅因為每個人都剛剛開始重視安全，系統(tǒng)軟件也會