白盒扫描(源代码扫描)、黑盒扫描和漏扫的区别

已于 2023-02-12 20:58:04 修改
阅读量7k 收藏 3
点赞数 5
分类专栏: Security 文章标签: 安全 web安全
于 2020-06-23 11:46:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jimmyleeee/article/details/106919906
版权
本文深入解析白盒扫描、黑盒扫描及漏扫的区别,对比扫描对象、侧重点、速度、覆盖率及对运行环境的影响,强调结合人工渗透测试的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

        关于白盒扫描、黑盒扫描和漏扫,经常有客户分不清楚他们之间的区别,见到不同的客户秀需要解释一番,上网上搜索,也没有一个比较统一和权威的答案,这里根据自己的理解,列出三者的区别,如果有误,欢迎指正!

 白盒扫描黑盒扫描漏扫
扫描对象应用功能程度自身源代码运行时的应用程序运行时的应用程序以及环境
扫描侧重点应用程序自身的漏洞应用程序自身的漏洞应用程序运行的环境的漏洞
是否需要运行时的环境不需要需要需要
扫描速度很慢
覆盖率
对运行时环境是否有影响
误报率
漏报率(未知)

备注:漏扫的漏报率,没有了解过,所以这里是未知,如果有了解的同学,可以提供一下。

      不管用什么工具,即使全部适用,也不是说用过之后,就高枕无忧了。它们加在一起还是有一些漏洞做不了,主要是关于认证、授权以及业务逻辑的漏洞等,自动化工具是发现不了的。所以,还要结合人工渗透测试,才能保证没有明显的遗漏。

DAST黑盒扫描器:规则篇 编程学习
KrDebugging的博客
09-27 223
在网络安全领域中,黑盒扫描器是一种常用的工具,用于检测应用程序中的潜在洞。在网络安全领域中,黑盒扫描器是一种常用的工具,用于检测应用程序中的潜在洞。在实际的应用中,你需要根据你要检测的洞类型来编写适当的逻辑。在实际的应用中,你需要根据你要检测的洞类型来编写适当的逻辑。请注意,这只是一个基本的示例,实际的黑盒扫描器可能需要更复杂的逻辑更多的功能来检测各种类型的洞。请注意,这只是一个基本的示例,实际的黑盒扫描器可能需要更复杂的逻辑更多的功能来检测各种类型的洞。
安全测试前置实践1-白盒&黑盒扫描
京东科技开发者
04-11 353
本文我们将以围绕系统安全质量提升为目标,讲述在安全前置扫描上实践开展过程。希望通过此篇文章,帮助大家更深入、透彻地了解安全测试,能快速开展安全测试。
渗透测试中常见的扫描技术
最新发布
Kangyan6的博客
03-12 644
在渗透测试的过程中,为了节省时间人力,通常采用手工工具相结合的方式。使用工具,就是将一些机械性的操作自动化实现,用以提高渗透测试的效率。例如,寻找内网 192.168.16.0/24 所有在线主机,如果一个一个去 ping 来测试主机是否存活(在线),显然是不合适的。
白盒扫描工具
11-29
白盒代码静态扫描:自动扫描:包含单元测试、代码重复率、BUG或洞等等
对比分析:黑盒测试 VS 白盒测试
测试界的彭于晏的博客
06-09 2878
一、引言,在软件开发过程中,测试是确保产品质量的关键环节。其中,黑盒测试白盒测试是两种常见的测试方法。本文将详细解析这两种测试方法的定义、特点,同时通过具体示例进行对比分析。二、黑盒测试,黑盒测试,又称功能测试,是在不知道内部结构工作原理的情况下进行的测试。在这种测试方法中,测试人员把应用程序看作一个黑盒子,只关注输入输出的结果,而不考虑程序内部的状态。
白盒扫描是什么
weixin_40191861的博客
05-03 512
这需要进行全面的源代码分析,以发现潜在的洞,以及检测洞的可能结果,并制定恰当的修复措施。白盒扫描可以发现程序中的严重错误,但是,它不能发现程序中的逻辑错误,比如程序可能存在的潜在安全隐患。相比于黑盒扫描白盒扫描的主要优势在于可以提供更准确的洞检测结果,因为它可以直接访问应用程序的源代码,了解应用程序的内部结构逻辑。总之,白盒扫描是一种安全测试技术,它可以发现程序中可能存在的安全隐患,从而防止可能的攻击。二是根据源代码的结构,综合分析源代码,发现可能存在的洞。
白盒测试之静态代码扫描:SonarQube+Scanner环境搭建及使用
一个Tester的博客
05-07 2550
白盒测试之静态代码扫描:SonarQube+Scanner环境搭建及使用
基于Github的源码白盒扫描工具Raptor
weixin_33982670的博客
07-03 431
Raptor(猛禽)是一款基于WEB界面的github源代码扫描器。你只需要给它一个Github repository的URL地址,它就能进行自动扫描。 简单介绍 你也可以在Raptor设置WEB监控机制,在每次进行提交或者合并分支时,它会收到消息然后进行自动化扫描。这些扫描工作是异步进行的,而且只有启动扫描的用户自己才能看到扫描结果。 Raptor的一...
渗透测试与源代码扫描:软件安全开发的关键实践
"基于渗透测试源代码扫描的软件安全测试开发是现代软件生命周期中不可或缺的一部分。本文探讨了软件安全的重要性,特别是在计算机语言发展互联网普及背景下,软件面临的复杂攻击形势。软件安全问题不再局限于...
软件安全测试:渗透测试与源代码扫描实践
"基于渗透测试源代码扫描的软件安全测试开发" 软件安全是一个至关重要的领域,尤其是在今天这个数字化世界中,网络安全事件频繁发生。本文深入探讨了如何在软件开发过程中融入安全测试开发,以确保产品的安全...
AppScan黑盒安全测试技术
09-21
AppScan黑盒安全测试技术AppScan黑盒安全测试技术AppScan黑盒安全测试技术AppScan黑盒安全测试技术AppScan黑盒安全测试技术AppScan黑盒安全测试技术
扫描代码
11-03
这是自己编写的 有小错误 仅供参考.主要是关于针对sql的扫描,但是相比于网上流传的开源代码,我们做的有很多不足,但是有一定的参考性。
御剑后台扫描珍藏版.rar
10-15
2. **白盒黑盒测试**:结合应用内部结构的白盒测试仅依赖公开接口的黑盒测试,全方位评估安全状况。 3. **应急响应计划**:建立快速响应机制,一旦发现严重洞,立即采取措施修复。 4. **安全编码培训**:...
白盒1:iOS静态代码扫描
weixin_34090643的博客
11-03 214
静态扫描Static Analysis1、能够在编码阶段,开发自行进行代码检查。早期发现代码隐患。2、直接分析源代码来发现程序中的错误,而不需要实际运行。3、自动检测objective-C程序中的BUG,发现内存泄露其它问题。4、内存问题发现越早,解决的代价就越小。静态扫描方法:xcode集成工具xcode下,针对某个project ,点击菜单栏上 Product--...
SonarQube白盒静态代码专家解决方案
zhaohhtt的专栏
02-13 961
SonarQube Sonar Fortify Coverity LoadRunner 白盒静态源代码测试 应用安全测试工具
探秘Burp-molly-scanner: 黑盒扫描的新利器
gitblog_00072的博客
06-11 276
探秘Burp-molly-scanner: 黑盒扫描的新利器 去发现同类优质开源项目:https://gitcode.com/ 在网络安全的浩瀚星空中,每一次扫描都像是探索未知的宇宙角落,而今天我们要为你介绍的是——Burp-molly-scanner,一款专为增强Burp Suite而生的头盔式主动扫描插件。让我们一起揭开它的神秘面纱,探讨其技术内核,以及如何在实战中大展身手。 项目介绍 Bur...
抽象的黑盒扫描与风险技术评估方法论
YakProject的博客
11-06 412
实际在构造的时候,有很多种检测方法,我们可以看如下案例列表,我们列出一些常见的表达式的执行与实际情况:注意,我们仍然非常推荐使用减法运算来计算,不仅是因为 + / * 经常作为保留字符,同时 2022-01-12 这类也是很好的迷惑手段。类似的,受上面提出的方案的启发,我们抛开 TCP 不说,ICMP 协议也是可以有类似的技术方案的,只是不同的是,ICMP 不涉及端口,那么如何以类似的方式来触发 ICMP 反连然后区分这个 ICMP 连接 / 数据包,对应的是 “哪个洞”?我们为什么要做这件事?
网安工具系列:NextScan企业级黑盒扫描系统、NextScan(飞刃)安装教程
weixin_54626591的博客
02-16 243
NextScan企业级黑盒扫描系统、NextScan(飞刃)安装教程
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值