昨天聊到了SSDLC,今天針對測試階段來研究相關的知識~~
在測試者不知道原始碼的情況下進行測試,可能只知道對方主機IP或者服務網站,使用者可以依照操作手冊進行測試
,也可以使用自動化工具進行網站弱點掃描
,甚至模擬駭客行為進行滲透測試
。
程式設計面
問題之前在使用OWASP ZAP的時候,由於自己開發的網站登入有加圖形驗證碼機制,導致花了好幾天再找如何設定
測試者在了解所有的程式碼、設計邏輯的情況下進行測試,直接對原始碼
進行掃描尋找漏洞;可以運用於開發時程式碼函示的單元測試,整合測試,也可以運作團隊Code Review機制。
灰箱測試介於白箱與黑箱測試之間的一種方式,測試者只有了解部分程式碼
,大概知道特定功能如何運作,不需要像白箱測試
需要了解程式、模組的細節,但了解運作機制,能夠用於黑箱測試
,以增加弱點發現和錯誤分析的效率
如果有任何錯誤的地方歡迎提出。
今天在學習相關資料,有發現一些測試工具的部分先記錄下來~,之後找時間來學習如何使用,
如果有推薦的工具,希望大大可以推薦,感謝~