今天剛好聽主管分享
筆記一下
網站上線前,一般會做一些掃描,主要有:
原始碼掃描 => 白箱測試,直接對原始碼做檢測,找出有問題的程式碼
弱點掃描 => 黑箱測試,對網站或主機檢測,找出是否有SQL Injection 、XSS 、OWASP 的問題
滲透測試 => 這個就比較困難,通常是會找外面的資安公司來做,所以要花不少 $$
弱點掃描(Vulnerability Scanning)和滲透測試(Penetration Testing)都是網絡安全評估的重要組成部分,但它們在目的、方法和範圍上有所不同。以下是一個比較表格:
| 特性 | 弱點掃描 | 滲透測試 |
|---|---|---|
| 目的 | 發現系統中存在的已知弱點。 | 模擬黑客攻擊以識別和利用弱點。 |
| 範圍 | 通常針對特定資產或網絡範圍進行廣泛掃描。 | 通常針對特定目標進行深入測試。 |
| 方法 | 自動化工具掃描系統,檢查已知弱點的數據庫。 | 結合自動化工具和手動技術,模擬攻擊者的行為。 |
| 結果 | 生成報告,列出發現的弱點及其嚴重程度。 | 提供詳細報告,包括成功利用的弱點和建議的修復措施。 |
| 頻率 | 可以較頻繁地執行,如每週或每月。 | 通常按需或定期(如每年)執行。 |
| 專業知識 | 通常需要較少的專業知識。 | 需要較高的專業知識和技能。 |
| 風險 | 通常風險較低,不太可能對系統造成破壞。 | 可能存在一定風險,尤其是在測試生產環境時。 |
| 目標 | 識別弱點,以便進行修復。 | 驗證弱點是否可以被利用,評估潛在的風險和影響。 |
總的來說,弱點掃描著重於識別和報告系統中存在的已知弱點,而滲透測試則更進一步,通過模擬實際攻擊來評估這些弱點是否可以被利用,並提供更深入的安全分析和修復建議。
白盒測試(White Box Testing):
定義:又稱為透明盒測試、結構測試或代碼測試。在白盒測試中,測試者對程序的內部結構和邏輯有完全的瞭解,測試是基於程序的源代碼進行的。
目的:確保代碼的內部結構和邏輯正確無誤,找出程序中的邏輯錯誤、代碼覆蓋率不足等問題。
應用場景:常用於單元測試、整合測試和系統測試的早期階段。
黑盒測試(Black Box Testing):
定義:又稱為功能測試、數據驅動測試或外部測試。在黑盒測試中,測試者對程序的內部結構和邏輯一無所知,測試僅基於程序的輸入和輸出。
目的:確保程序的功能符合需求規範,找出程序中的功能錯誤、介面問題、數據處理錯誤等問題。
應用場景:常用於系統測試和驗收測試階段。
WeLoveSeafood
iThome鐵人賽
看影片追技術