关于白盒扫描、黑盒扫描和漏扫,经常有客户分不清楚他们之间的区别,见到不同的客户秀需要解释一番,上网上搜索,也没有一个比较统一和权威的答案,这里根据自己的理解,列出三者的区别,如果有误,欢迎指正!
白盒扫描 | 黑盒扫描 | 漏扫 | |
扫描对象 | 应用功能程度自身源代码 | 运行时的应用程序 | 运行时的应用程序以及环境 |
扫描侧重点 | 应用程序自身的漏洞 | 应用程序自身的漏洞 | 应用程序运行的环境的漏洞 |
是否需要运行时的环境 | 不需要 | 需要 | 需要 |
扫描速度 | 快 | 很慢 | 慢 |
覆盖率 | 高 | 低 | 低 |
对运行时环境是否有影响 | 否 | 是 | 是 |
误报率 | 高 | 低 | 低 |
漏报率 | 低 | 高 | (未知) |
备注:漏扫的漏报率,没有了解过,所以这里是未知,如果有了解的同学,可以提供一下。
不管用什么工具,即使全部适用,也不是说用过之后,就高枕无忧了。它们加在一起还是有一些漏洞做不了,主要是关于认证、授权以及业务逻辑的漏洞等,自动化工具是发现不了的。所以,还要结合人工渗透测试,才能保证没有明显的遗漏。