问:黑盒测试和白盒测试可以一起使用吗?哪些东西是黑盒测试可以找到,但白盒测试不能找到的? 答:黑盒测试和白盒测试一起使用是一种理想状态。相比只使用一种方法来说,同时使用这两种类型的测试能确定更多的漏洞,但很多时候因为资源有限,这两种测试不能一起进行。 黑盒测试是以外人的角度来测试系统,白箱测试是以内部人员的角度来测试系统。 黑盒测试人员试图影响攻击应用程序,但事先对系统架构不太了解,不能依赖于访问源代码或系统架构知识来进行。
黑盒测试寻找可用于获取未经授权访问权限的漏洞、拒绝服务攻击,或许多其他类型的攻击。黑盒测试可以看作是一个外部渗透测试,其目的是访问敏感数据或受保护的资源。 ……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
问:黑盒测试和白盒测试可以一起使用吗?哪些东西是黑盒测试可以找到,但白盒测试不能找到的?
答:黑盒测试和白盒测试一起使用是一种理想状态。相比只使用一种方法来说,同时使用这两种类型的测试能确定更多的漏洞,但很多时候因为资源有限,这两种测试不能一起进行。
黑盒测试是以外人的角度来测试系统,白箱测试是以内部人员的角度来测试系统。
黑盒测试人员试图影响攻击应用程序,但事先对系统架构不太了解,不能依赖于访问源代码或系统架构知识来进行。黑盒测试寻找可用于获取未经授权访问权限的漏洞、拒绝服务攻击,或许多其他类型的攻击。黑盒测试可以看作是一个外部渗透测试,其目的是访问敏感数据或受保护的资源。
相反,白盒测试人员已经有或正在掌握内部知识,有可能访问内部文件和源代码,及其他内部资源。黑盒测试试图从攻击者的角度来寻找漏洞,白盒测试试图从质量保证的角度来查找威胁。白盒测试验证代码、安全功能,或识别可利用的漏洞。通过源代码分析工具或手动分析可以做到这些。
一些企业可能更容易接受白盒测试,因为黑盒测试大多是在安全行业的道德界限边缘进行的。黑箱测试一般是由那些从事于客户端的道德测试者来执行的,并且测试结果是保密的。
有时还会招募改造后的网络罪犯来执行黑盒测试,因为他们能以网络罪犯的角度来看问题,试图找到可以被非法访问的漏洞。这被看作是使罪犯从他们的罪行中获利,在信息安全领域里代表道德灰色地带。
关于白盒和黑盒测试(包括灰盒测试)的更多细节,可在由美国国土安全部和Cigital公司提供的Build Security In project(在程序中建立安全)中找到。
翻译
相关推荐
-
Kali Linux渗透测试五步曲
Kali Linux的设计目的是渗透测试。不管渗透测试者的起点是白盒测试、黑盒测试,还是灰盒测试,在用Kali或其它工具进行渗透测试时,需要遵循一些步骤。
-
这样做,让你的渗透测试更有效
进行渗透测试首先需要确认渗透测试项目的起始状态。定义起始状态的最常见的方法是确定选择黑盒测试或白盒测试或灰盒测试……
-
如何对移动应用进行黑盒测试(一)
多数移动应用程序采用何种开发技术,都会给本地设备和企业带来不同的风险,因而在部署之前需要对其实施软件测试和评估。本文首先讨论黑盒测试技术和策略。
-
如何对移动应用进行黑盒测试(二)
本文阐述了黑盒测试的基本要点,但如果开发人员在开发过程中能够牢记安全第一的原则,遵循最佳的开发实践,将极大地减轻测试人员的负担。