iT邦幫忙

2022 iThome 鐵人賽

DAY 23
0
Security

資安新人30系列 第 23

資安新人30 Day23 測試方式-黑白灰箱

  • 分享至 

  • xImage
  •  

昨天聊到了SSDLC,今天針對測試階段來研究相關的知識~~/images/emoticon/emoticon08.gif


測試方法

黑箱測試

在測試者不知道原始碼的情況下進行測試,可能只知道對方主機IP或者服務網站,使用者可以依照操作手冊進行測試,也可以使用自動化工具進行網站弱點掃描,甚至模擬駭客行為進行滲透測試

優點

  • 不需提供任何程式碼
  • 可檢測網頁伺服器弱點
  • 有效檢測系統弱點

缺點

  • 不容易測試程式設計面問題
  • 在遇到安全防護機制下(圖形驗證碼),增加自動化測試難度

    之前在使用OWASP ZAP的時候,由於自己開發的網站登入有加圖形驗證碼機制,導致花了好幾天再找如何設定/images/emoticon/emoticon17.gif

工具


白箱測試

測試者在了解所有的程式碼、設計邏輯的情況下進行測試,直接對原始碼進行掃描尋找漏洞;可以運用於開發時程式碼函示的單元測試,整合測試,也可以運作團隊Code Review機制。

優點

  • 可明確定義測試目標
  • 對程式碼徹底了解
  • 提升開發人員撰寫程式碼品質

缺點

  • 需要對程式有相關知識人員協助
  • 測試時間長

工具


灰箱測試

灰箱測試介於白箱與黑箱測試之間的一種方式,測試者只有了解部分程式碼,大概知道特定功能如何運作,不需要像白箱測試需要了解程式、模組的細節,但了解運作機制,能夠用於黑箱測試,以增加弱點發現和錯誤分析的效率


參考資料

如果有任何錯誤的地方歡迎提出。/images/emoticon/emoticon41.gif


後記

今天在學習相關資料,有發現一些測試工具的部分先記錄下來~,之後找時間來學習如何使用,
如果有推薦的工具,希望大大可以推薦,感謝~/images/emoticon/emoticon32.gif


上一篇
資安新人30 Day22 安全系統發展生命週期 SSDLC
下一篇
資安新人30 Day24 弱點掃描、滲透測試、源碼掃描
系列文
資安新人3030
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言