今天刚好听主管分享
笔记一下
网站上线前,一般会做一些扫描,主要有:
原始码扫描网站或主机的弱点扫描渗透测试原始码扫描 => 白箱测试,直接对原始码做检测,找出有问题的程式码
弱点扫描 => 黑箱测试,对网站或主机检测,找出是否有SQL Injection 、XSS 、OWASP 的问题
渗透测试 => 这个就比较困难,通常是会找外面的资安公司来做,所以要花不少 $$
弱点扫描(Vulnerability Scanning)和渗透测试(Penetration Testing)都是网络安全评估的重要组成部分,但它们在目的、方法和範围上有所不同。以下是一个比较表格:
总的来说,弱点扫描着重于识别和报告系统中存在的已知弱点,而渗透测试则更进一步,通过模拟实际攻击来评估这些弱点是否可以被利用,并提供更深入的安全分析和修复建议。
白盒测试(White Box Testing):
定义:又称为透明盒测试、结构测试或代码测试。在白盒测试中,测试者对程序的内部结构和逻辑有完全的了解,测试是基于程序的源代码进行的。
目的:确保代码的内部结构和逻辑正确无误,找出程序中的逻辑错误、代码覆盖率不足等问题。
应用场景:常用于单元测试、整合测试和系统测试的早期阶段。
黑盒测试(Black Box Testing):
定义:又称为功能测试、数据驱动测试或外部测试。在黑盒测试中,测试者对程序的内部结构和逻辑一无所知,测试仅基于程序的输入和输出。
目的:确保程序的功能符合需求规範,找出程序中的功能错误、介面问题、数据处理错误等问题。
应用场景:常用于系统测试和验收测试阶段。