白盒、黑盒、SAST、DAST傻傻分不清?

最新推荐文章于 2024-05-19 22:04:39 发布
最新推荐文章于 2024-05-19 22:04:39 发布
阅读量308 收藏 2
点赞数
文章标签: 代码检查 华为云 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hwxiaozhi/article/details/131596214
版权
HDC期间可参与华为开发者大会Check新人抽奖活动,活动链接在文末。无线鼠标等快来参与!

白盒测试、黑盒测试、静态应用程序安全测试(SAST) 和 动态应用程序安全测试(DAST)是软件测试和安全领域中常见的术语。很多小伙伴分不清这四者到底有啥区别和关联,本文将做个简单的解释与区分。

白盒测试

白盒测试也称为结构测试,目的是检查代码的内部结构,包括控制流程、算法和数据处理。白盒测试对开发人员和QA测试人员来说是一种重要的测试方法,因为它可以发现源码中的漏洞和缺陷。白盒测试的优势在于可以全面而深入地检查代码的内部结构,包括有意或无意的缺陷。

黑盒测试

黑盒测试也称为功能测试,是一种基于需求规范的测试方法,和白盒测试不同的是,它不需要知道软件系统内部的工作原理或代码逻辑。黑盒测试重点关注系统的输入和输出,以验证系统是否符合需求规范。黑盒测试的优势在于可以覆盖系统的各个方面,并且可以在不了解系统内部的情况下对其进行测试。

静态应用程序安全测试(SAST)

静态应用程序安全测试(SAST)在软件开发生命周期的早期进行,使用一组自动化工具来检查源代码并查找软件中的潜在安全漏洞和许多类型的安全问题。SAST的优势在于可以帮助发现并解决软件安全问题,缩短开发的时间周期。

和白盒测试的关系

SAST通常会被认为是一种白盒测试,它们都可以在代码级别上分析和检测应用程序的安全性。

动态应用程序安全测试(DAST)

是一种在应用程序运行时进行测试的方法,它可以模拟攻击者的攻击行为,以确定应用程序中的潜在安全漏洞。它可以模拟一系列攻击行为,如SQL注入、跨站点脚本攻击和DOS攻击等,以检测应用程序中的漏洞。

和黑盒测试的关系

DAST通常会被认为是一种黑盒测试方法,它们都模拟了攻击者的行为来测试应用程序的安全性。

SAST和DAST的区别

两者有以下不同点:
1、SAST评估应用程序的源代码、字节码或二进制文件以查找安全漏洞;DAST评估运行时应用程序的交互式行为,对应用程序进行模拟攻击来找到弱点。
2、SAST依赖于代码或字节码而不是产品运行实例,通常可以更快地检测到所有缺陷类型;DAST则测试起来更真实,因为它评估应用程序的运行实例。
3、SAST一般在前期开发阶段被提供;DAST更注重模拟客户和攻击者的视角,一般在在应用程序部署后进行。

参考链接

1、 https://www.synopsys.com/blogs/software-security/sast-vs-dast-difference/

抽奖活动链接:华为云论坛_云计算论坛_开发者论坛_技术论坛-华为云

华为云PaaS服务小智
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
悬镜安全SAST,DAST,IAST分不清?看这篇就够了!
Anprou的博客
10-16 2799
AST(Application Security Test,应用安全测试)工具是应用程序软件安全实践的支柱之一。随着近年来安全越来越得到重视,AST们也发生着快速的迭代和变化,成为信息安全领域的当红炸子鸡。我们认为所有的软件技术和项目管理相关人员都应该对AST工具有基本的认知,并在一定程度上应用它们。但实际上,我们经常发现SAST,DAST,IAST等十分近似的名词让许多企业的安全负责人都缺乏清晰...
SAST,DAST,IAST】SAST,DAST,IAST区别及原理
无为
03-26 710
SAST,DAST,IAST区别及原理
三大安全神器对决:SAST vs DAST vs IAST,谁是应用程序的守护神?
java专栏
05-11 423
应用程序安全是个永恒的话题,而SAST、DAST与IAST作为三大安全测试工具,它们各自扮演着独特的角色,共同守护着软件的防线。下面,我们就来一场深度探索,把这三位安全界的“护法”剖析得明明白白。
安全测试工具分为 SAST、DAST和IAST 您知道吗?
liwenxiang629的博客
11-20 655
相信刚刚步入安全测试领域的同学都会发现,安全测试领域工具甚多,不知如何选择!其实安全测试工具大致分为三类:SAST、DAST和IAST。本文就带大家快速的了解这三者的本质区别!
动态应用安全测试(DAST
周无争的博客
09-26 3396
什么是DAST安全测试? 动态应用程序安全测试(DAST)从web应用程序外部测试安全性。一个很好的类比是通过攻击银行保险库来测试其安全性。DAST要求安全测试人员不了解应用程序的内部。这被称为“黑盒”测试方法——因为测试人员看不到隐喻性的“盒子”内部。它的目的是模拟真实的攻击。 Burp Suite 诞生于DAST的思维模式。如今,它可以通过其他测试方法来增强和改进扫描,但它本质上仍然是一个黑盒工具。 DAST是自动化的还是人工的方法论? 答案是“都有”。例如,位于Burp Suite核心的自动扫描仪就扎
软件测试白盒黑盒测试.ppt
12-19
软件测试白盒黑盒测试 软件测试是软件开发过程中的一个重要环节,它的目的是确保软件的质量和可靠性。软件测试可以分为白盒测试和黑盒测试两种,白盒测试是基于软件的内部结构和实现细节进行测试,而黑盒测试是基于...
软件测试技术之:白盒测试和黑盒测试
03-23
白盒测试和黑盒测试 目录 1.软件测试基本分类...1 2.测试方法...2 2.1白盒测试...2 2.1.1语句覆盖...2 2.1.2判定(分支)覆盖...3 2.1.3条件覆盖...3 2.1.4判定/条件覆盖...4 2.1.5多重条件覆盖...5 2.1.6...
黑盒测试与白盒测试
03-23
单元测试的测试数据可以用两个基本的方法系统地构建。...这个技术也称为玻璃盒测试,白盒测试,结构测试,逻辑驱动测试以及面向路径测试。  规格说明测试的可行性:  考虑下面的例子。假定某个数据处理
白盒测试和黑盒测试的区别1
08-08
白盒测试和黑盒测试的区别 白盒测试和黑盒测试是软件测试中两种常用的测试方法,它们之间存在着很大的不同。白盒测试是通过程序的源代码进行测试,而黑盒测试是通过使用整个软件或某种软件功能来测试。在这篇文章中...
白盒测试和黑盒测试的优缺点
01-20
白盒测试和黑盒测试是软件测试的两种基本方法。 白盒测试又称结构测试、透明盒测试、逻辑驱动测试或基于代码的测试。白盒测试是一种测试用例设计方法,盒子指的是被测试的软件,白盒指的是盒子是可视的,你清楚盒子...
应用安全测试技术DASTSAST、IAST对比分析.docx
09-14
应用安全测试技术DASTSAST、IAST对比分析.docx
安全开发基础 -- DASTSAST,IAST简单介绍
qq_61039408的博客
03-06 1416
通过爬虫发现整个 Web 应用结构,爬虫会发现被测Web程序有多少个目录,多少个页面,页面中有哪些参数;根据爬虫的分析结果,对发现的页面和参数发送修改的 HTTP Request 进行攻击尝试(扫描规则库);通过对于 Response 的分析验证是否存在安全漏洞。
Web安全SAST和DAST(静态和动态应用程序安全测试)详解
路多辛的所思所想
04-18 584
SAST(static application security testing),静态应用程序安全测试,是一种白盒测试方法。通过检查代码以发现软件缺陷和安全漏洞,SAST是在软件开发生命周期(SDLC)的早期阶段(可以理解为编码阶段)发现代码漏洞,由于SAST是通过扫描源代码发现漏洞,所以能够精确给出存在漏洞的代码行。DAST(dynamic application security testing),动态应用程序安全测试,是一种黑盒测试方法。
DAST 黑盒漏洞扫描器 第二篇:规则篇
weixin_45566993的博客
06-07 738
怎么衡量一个扫描器的好坏,扫描覆盖率高、扫描快、扫描过程安全 而最直接的效果就是扫描覆盖率高(扫的全) 怎么扫描全面,1 流量全面 2 规则漏报低 流量方面上篇已经讲过,这篇主要讲扫描规则。 扫描规则漏报率低,从整体考虑,一方面是规则全,广度上有保证;一方面是检测手段有深度,可以跨能力联动检测,有能力解决主要和旁枝末节处的漏报场景扫描器的规则主要有两种类型 针对接口的web漏洞,通常是通用型漏洞,OWASP TOP 10,sql注入、xss、ssrf、xxe等,以下简称web规则 针对主机(包括整个站点)的
应用安全测试技术DASTSAST、IAST对比分析
qq_50854662的博客
10-06 1148
应用安全测试技术DASTSAST、IAST对比分析
静态应用安全测试 SAST 与动态应用安全测试 DAST 有何区别?
最新发布
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
05-19 1257
由于泄露事件的数量不断增加,各组织日益重视应用安全。他们希望识别应用中的漏洞,并提早降低风险。有两种不同类型的应用安全测试:静态应用安全测试 SAST 和动态分析测试 DAST。这两种测试方法都能识别应用中的安全漏洞,但它们却又截然不同。
一文洞悉DASTSAST、IAST ——Web应用安全测试技术对比浅谈
YvesHe的专栏
10-13 342
一、全球面临软件安全危机 我们即将处于一个软件定义一切的时代,这是 “一个最好的时代,也是一个最坏的时代”。 无论是生活中离不开的通讯、支付、娱乐、餐饮、出行,以及医疗,还是国防领域中的火箭、导弹、卫星等,都离不开软件技术。然而,软件技术在促进社会发展的同时,也可能因为漏洞问题危害人们的个人隐私信息、财产安全甚至生命安全,这类案例不胜枚举。 2010年,大型社交网站rockyou.com被曝存在SQL注入漏洞,黑客利用此漏洞获取到3200万用户记录(包括E-mail、姓名及明文形式的密码)。 201
sast/dast/iast对比介绍
WangYouJin321的博客
07-28 3892
为了发现软件的安全漏洞和缺陷,确保应用系统是安全可靠的,就需要针对Web系统做应用检测,识别Web应用程序中架构的薄弱环节,以免轻易的受到恶意攻击者的攻击。主要市场上主要的检测技术主要是DASTSAST、RAST和IAST,每种技术都有一定的优缺点,本节将介绍相关工具特点。SAST是静态应用安全测试技术,SAST类工具的技术实践大致可分为以下几种:(1) 正则匹配:代表工具Cobra,Raptor;(2) 基于语法树:代表工具P3C,Fireline;(3) java语言可基于class文件:代表工具Fi
什么是黑盒测试?什么是白盒测试?
05-05
黑盒测试和白盒测试是软件测试中两种不同的测试方法。 黑盒测试是一种测试方法,它主要关注系统功能和用户接口,而不关注系统的内部结构,测试人员只需要了解系统的输入和输出,然后通过输入一些特定的测试数据,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值