白盒扫描(源代码扫描)、黑盒扫描和漏扫的区别

已于 2023-02-12 20:58:04 修改
阅读量6.4k 收藏 3
点赞数 5
分类专栏: Security 文章标签: 安全 web安全
于 2020-06-23 11:46:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jimmyleeee/article/details/106919906
版权

        关于白盒扫描、黑盒扫描和漏扫,经常有客户分不清楚他们之间的区别,见到不同的客户秀需要解释一番,上网上搜索,也没有一个比较统一和权威的答案,这里根据自己的理解,列出三者的区别,如果有误,欢迎指正!

 白盒扫描黑盒扫描漏扫
扫描对象应用功能程度自身源代码运行时的应用程序运行时的应用程序以及环境
扫描侧重点应用程序自身的漏洞应用程序自身的漏洞应用程序运行的环境的漏洞
是否需要运行时的环境不需要需要需要
扫描速度很慢
覆盖率
对运行时环境是否有影响
误报率
漏报率(未知)

备注:漏扫的漏报率,没有了解过,所以这里是未知,如果有了解的同学,可以提供一下。

      不管用什么工具,即使全部适用,也不是说用过之后,就高枕无忧了。它们加在一起还是有一些漏洞做不了,主要是关于认证、授权以及业务逻辑的漏洞等,自动化工具是发现不了的。所以,还要结合人工渗透测试,才能保证没有明显的遗漏。

jimmyleeee
关注
  • 5
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
白盒扫描工具
11-29
白盒代码静态扫描:自动扫描:包含单元测试、代码重复率、BUG或洞等等
四种常用的java代码扫描工具介绍
03-30
基于渗透测试和源代码扫描的软件安全测试和开发
02-03
本文内容包括:序言软件安全的“闻问望切”—基于黑盒的渗透测试给软件拍一张X光片—基于白盒源代码分析总结参考资料自从软件诞生起,软件的安全性一直就是每一个程序员不可回避的问题。随着计算机语言的不断进化和互联网时代的到来,软件所面临的安全性问题也在发生着巨大改变。在这些软件安全问题中,由于没有在软件设计和开发的过程中引入安全开发和测试的情况占了很大比例。在本文中,我们就将结合示例来讨论一下如何能够在软件开发生命周期中进行软件安全开发和测试的问题。序言自从软件诞生起,软件的安全性一直就是每一个程序员不可回避的问题。面对“如何开发出具有高安全性软件”与“如何利用软件洞进行攻击”,安全防护人员和黑客
软件测试 黑盒 白盒测试用例 源代码
09-21
一、 实验目的 通过实验主要掌握黑盒法和白盒法设计测试用例的技术。 二、实验内容 为以下的三角形程序设计一组测试用例。这个程序的功能是,读入代表三角形边长的3个整数, 判断他们能否组成三角形。如果能够组成,则输出三角形是等边,等腰或任意三角形的识别信息。 三、实验要求 先用黑盒法设计测试用例,然后用白盒法进行检验与补充。用某种高级语言 写出程序代码,然后将选好的测试用例输入,给出打印输出结果。该程序的流程图和流
AppScan黑盒安全测试技术
09-21
AppScan黑盒安全测试技术AppScan黑盒安全测试技术AppScan黑盒安全测试技术AppScan黑盒安全测试技术AppScan黑盒安全测试技术AppScan黑盒安全测试技术
对比分析:黑盒测试 VS 白盒测试
测试界的彭于晏的博客
06-09 2075
一、引言,在软件开发过程中,测试是确保产品质量的关键环节。其中,黑盒测试和白盒测试是两种常见的测试方法。本文将详细解析这两种测试方法的定义、特点,同时通过具体示例进行对比分析。二、黑盒测试,黑盒测试,又称功能测试,是在不知道内部结构和工作原理的情况下进行的测试。在这种测试方法中,测试人员把应用程序看作一个黑盒子,只关注输入和输出的结果,而不考虑程序内部的状态。
白盒扫描是什么
weixin_40191861的博客
05-03 274
这需要进行全面的源代码分析,以发现潜在的洞,以及检测洞的可能结果,并制定恰当的修复措施。白盒扫描可以发现程序中的严重错误,但是,它不能发现程序中的逻辑错误,比如程序可能存在的潜在安全隐患。相比于黑盒扫描白盒扫描的主要优势在于可以提供更准确的洞检测结果,因为它可以直接访问应用程序的源代码,了解应用程序的内部结构和逻辑。总之,白盒扫描是一种安全测试技术,它可以发现程序中可能存在的洞和安全隐患,从而防止可能的攻击。二是根据源代码的结构,综合分析源代码,发现可能存在的洞。
白盒测试之静态代码扫描:SonarQube+Scanner环境搭建及使用
一个Tester的博客
05-07 2059
白盒测试之静态代码扫描:SonarQube+Scanner环境搭建及使用
基于Github的源码白盒扫描工具Raptor
weixin_33982670的博客
07-03 364
Raptor(猛禽)是一款基于WEB界面的github源代码扫描器。你只需要给它一个Github repository的URL地址,它就能进行自动扫描。 简单介绍 你也可以在Raptor设置WEB监控机制,在每次进行提交或者合并分支时,它会收到消息然后进行自动化扫描。这些扫描工作是异步进行的,而且只有启动扫描的用户自己才能看到扫描结果。 Raptor的一...
白盒1:iOS静态代码扫描
weixin_34090643的博客
11-03 170
静态扫描Static Analysis1、能够在编码阶段,开发自行进行代码检查。早期发现代码隐患。2、直接分析源代码来发现程序中的错误,而不需要实际运行。3、自动检测objective-C程序中的BUG,发现内存泄露和其它问题。4、内存问题发现越早,解决的代价就越小。静态扫描方法:xcode集成工具xcode下,针对某个project ,点击菜单栏上 Product--...
白盒测试和黑盒测试的优缺点
01-20
白盒测试和黑盒测试是软件测试的两种基本方法。 白盒测试又称结构测试、透明盒测试、逻辑驱动测试或基于代码的测试。白盒测试是一种测试用例设计方法,盒子指的是被测试的软件,白盒指的是盒子是可视的,你清楚盒子...
渗透测试类型(白盒测试、黑盒测试)和扫描
热门推荐
WEL测试
08-23 1万+
1.3 渗透测试类型          渗透测试的两种基本类型:白盒测试与黑盒测试。白盒测试,有时也被称为“白帽测试”,是指渗透测试者在拥有客户组织所有知识的情况下所进行的测试;黑盒测试则设计为模拟一个对客户组织一无所知的攻击者所进行的渗透攻击。 1.3.1 白盒测试          使用白盒测试,需要和客户组织一起工作,来识别出潜在的安全风险。白盒测试的最大好处是测试者将拥有所有的内部知
NextScan企业级黑盒扫描系统
最新发布
u013901725的博客
08-21 542
常见的系统很多Nessus,Nexposecommunity,OpenVAS,Qualys,Nexpose,Burp Suite,Acunetix,Retina,Metasploit,OpenSCAP,SecurityCenter,Nikto,其中用的最多的就是大家熟知的Nessus,功能强大,开源免费,但是没有中文,用起来还是很费劲的,国产的绿盟,天融信,360,阿里云等,都有内网的云产品也有网络的云产品,但是价格都是挺贵的还是。github源代码地址。目前最新版本是1.2。
s2 安恒 洞验证工具_黑盒扫描工具简介
weixin_30327815的博客
12-29 2578
一、Web扫描1、WebInspect国外商业级。HP WebInspect 可提供快速扫描功能、广泛的安全评估范围及准确的 Web 应用程序安全扫描结果。它可以识别很多传统扫描程序检测不到的安全洞。利用创新的评估技术,例如同步扫描和审核 (simultaneous crawl and audit, SCA) 及并发应用程序扫描,您可以快速而准确地自动执行 Web 应用程序安全测试和 ...
SonarQube白盒静态代码专家解决方案
zhaohhtt的专栏
02-13 730
SonarQube Sonar Fortify Coverity LoadRunner 白盒静态源代码测试 应用安全测试工具
Linux root用户与一般用户的区别
jimmyleeee的专栏
08-20 1万+
root用户可以在Linux系统上做任何操作,权限没有收到任何限制。一般需要root权限的任务包括:移动文件或者文件夹in或者out of 系统目录,复制文件到系统目录,赋予或者收回用户权限,系统维护和安装一些应用程序,例如:安装RPM格式的软件通常需要root权限,因为需要写一些信息到系统目录。还有一个需要注意的就是,对于小于1024端口的知名端口,只有root用户才可以有权限侦听,如果应用程序
访问网站报错‘您目前无法访问XXXX 因为此网站使用了 HSTS
jimmyleeee的专栏
11-16 9374
使用Chrome测试某一个网站时,之前一直可以正常访问, 突然再次访问就显示:“您目前无法访问XXXX 因为此网站使用了 HSTS” 使用IE之前也是可以正常访问的, 但是,现在也变成如下所示: 1) Chrome 处理方法 在Chrome中输入:chrome://net-internals/#hsts, 可以通过Query HSTS/PKG domain查询是否启用了HSTS 然后再在下面的输入框中输入刚查询的域名,点击删除, 再次,访问,就可以访问了。 ...
字符集编码汇总
jimmyleeee的专栏
01-17 7168
Shift_JIS 是一个日本电脑系统常用的编码表。它能容纳全角及半角拉丁字母、平假名、片假名、符号及日语汉字。它被命名为Shift_JIS的原因,是它在放置全角字符时,要避开原本在0xA1-0xDF放置的半角假名字符。 Shift_JIS x0 x1 x2 x3 x4 x5 x6
SAST、DAST、IAST几种测试工具的比较
jimmyleeee的专栏
07-02 6690
安全测试中都会遇到SAST(Static Application Security Testing)、DAST(Dynamic Application Security Testing)、IAST(Interactive Application Security Testing)的概念,这三种工具各有优劣势,先比较如下: 比较项 SAST DAST IAST 扫描对象 源代...
举例具体代码说明黑盒测试和白盒测试
05-23
黑盒测试和白盒测试都是软件测试的方法。下面我将分别举例具体代码说明这两种测试方法。 1. 黑盒测试 在黑盒测试中,测试人员只关注软件系统的外部行为,而不考虑其内部结构或实现细节。测试人员只能看到输入和输出,无法访问代码或内部数据结构。因此,黑盒测试通常被称为功能测试或行为测试。 举个例子,假设我们要测试一个简单的登录页面,测试人员只需要输入不同的用户名和密码,并检查系统的响应是否符合预期。以下是一个示例代码: ```python def test_login(): assert login("user1", "password1") == "Welcome, user1!" assert login("user2", "password2") == "Welcome, user2!" assert login("user3", "password3") == "Invalid username or password" ``` 在这个例子中,测试人员只关注输入和输出,而不考虑内部的实现细节。 2. 白盒测试 在白盒测试中,测试人员可以访问源代码和内部数据结构,以便更全面地测试软件系统。测试人员可以检查代码的各个部分是否按照预期工作,并且可以通过更详细的覆盖率分析来发现隐藏的缺陷或洞。 举个例子,假设我们要测试一个简单的计算器程序,以下是一个示例代码: ```python def test_addition(): assert add(2, 3) == 5 assert add(0.1, 0.2) == 0.3 def test_subtraction(): assert subtract(5, 3) == 2 assert subtract(0.2, 0.1) == 0.1 ``` 在这个例子中,测试人员可以检查代码的各个部分,如加法和减法函数,以确保它们按照预期工作。测试人员还可以使用代码覆盖率工具来确保测试用例覆盖了程序的所有部分。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值