黑、白盒做安全的优缺点分析

最新推荐文章于 2023-04-11 10:13:08 发布
最新推荐文章于 2023-04-11 10:13:08 发布
阅读量532 收藏 1
点赞数
文章标签: 设计模式
原文链接:http://www.cnblogs.com/mysticbinary/articles/10423738.html
版权

目录

黑盒

优点

  • 直接针对功能进行安全测试,结果能够快速输出;
  • 大部分黑盒测试方法比较通用,就是说对任何编程语言做的程序都能搞;

缺点

  • 需累计一定量的渗透经验;
  • 需要骚思路(骚思路不是每个人都能想得到的);
  • 需大量测试,因为不明确对方的技术、范围;
  • 容易被封、监控到;
  • 容易误伤服务器、数据库 ;

白盒

优点

  • 不需要大量测试,因为已经明确对方的技术、范围;
  • 针对一些限定条件、过滤,能更快速发现绕过;

缺点

  • 当代码、业务、封装嵌套多层时,需要代码审计的功力深厚,或花费时间较多;比如 很多框架的设置配置、启动流程比较复杂,需要对其比较了解;
  • 部分审计方法不通用、比如强类型和弱类型、编译和脚本型都有一定区别,各个框架的设计模式和启动流程也大为不同;

总结

有新人可能会问,那我学黑盒好还是白盒好?

我说下我经历过的状况,现在安全行业一般是,乙方只用黑盒,很少有拿到代码的,所以不会做白盒。而甲方是黑盒、白盒一起上、白盒为了追求效率,优先使用代码审计工具,没有开源好用的就自己造一个,因为甲方的老板不会管你什么黑盒、白盒、灰盒还是什么鬼盒,老板只关心能不能搞好安全、保证安全;

基于以上的认识,在根据你的职业规划,就知道你要学黑盒还是白盒了;

转载于:https://www.cnblogs.com/mysticbinary/articles/10423738.html

weixin_30625691
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
白盒 缺陷报告 用例
Alucard6y的博客
11-21 1036
缺陷报告 一、手工测试人员的主要工作职责 1、编写或阅读测试计划(3篇) 2、编写和执行测试用例(>1000条) 3、提交缺陷报告(>50条) 4、编写测试总结报告(3篇) 5、使用缺陷管理工具管理bug   二、缺陷报告的组成 1、缺陷编号(defect id) 表明提交bug的顺序 说明: (1)如果使用缺陷管理工具,编号会自动生成 (2)实际中是整个项目组统一编号
黑盒测试和百合测试的优缺点对比
weixin_30855099的博客
05-04 500
黑盒测试和白盒测试是软件测试的两种基本方法。 黑盒测试的优点有: 1)比较简单,不需要了解程序内部的代码及实现; 2)与软件的内部实现无关; 3)从用户角度出发,能很容易的知道用户会用到哪些功能,会遇到哪些问题; 4)基于软件开发文档,所以也能知道软件实现了文档中的哪些功能; 5)在软件自动化测试时较为方便。 黑盒测试的缺点有: 1)不可能覆盖所有的代码,覆盖率较低,大概只能达到...
黑盒测试和白盒测试的优缺点
05-06
测试的方法;黑盒测试和白盒测试的优缺点比较
网络安全白盒测试是什么意思?与黑盒测试有何不同?
oldboyedu1的博客
11-09 1104
是否有初始化或终止性错误。而白盒测试的目的是通过在不同点检查程序的状态,确定实际的状态是否与预期的状态一致,而不顾它的功能。对于渗透测试工程师来说,白盒测试和黑盒测试大家并不陌生,它是非常重要的概念,但很多人不知道什么是白盒测试和黑盒测试,更不知道白盒测试和黑盒测试有什么区别,对此小编特整理了这篇文章,我们一起来学习一下。黑盒测试和白盒测试是两种不同类型的软件测试策略,它们具有同样强大的功能,白盒测试和黑盒测试往往不是决然分开的,一般在白盒测试中交叉使用黑盒测试的方法,在黑盒测试中交叉使用白盒测试的方法。
安全测试前置实践1-白盒&黑盒扫描
京东科技开发者
04-11 226
本文我们将以围绕系统安全质量提升为目标,讲述在安全前置扫描上实践开展过程。希望通过此篇文章,帮助大家更深入、透彻地了解安全测试,能快速开展安全测试。
基于黑盒测试与白盒测试的比较探究.pdf
10-20
7. **优缺点**:黑盒测试设计用例较少,测试时间较短,成本相对较低,但可能遗漏与内部结构相关的错误。白盒测试全面深入,能发现更多潜在问题,但需要更多资源,且测试人员需具备较强的编程技能。 综上所述,黑盒...
DevSecOps敏捷安全技术落地实践探索2021.pdf
08-11
1. AST技术优劣分析对比:白盒、灰盒和黑盒测试的优缺点。 2. IAST技术实践:狭义的IAST特指运行时插桩模式,广义的IAST须包含流量学习和日志分析模式。 3. 被动IAST技术:误报及漏报高于主动IAST,无数据重放、无脏...
SMS4算法的白盒密码算法设计与实现1
08-04
论文详细分析了肖雅莹等人提出的白盒SMS4算法设计,探讨其优缺点。 3. **攻击方法与对策**:研究了林婷婷等对肖-白盒SMS4算法的攻击策略,并解析了攻击成功的原因,这有助于理解白盒密码的弱点和防护措施。 4. **...
最新系统分析师考试复习资料
04-15
- **XML 的优缺点** - **优点**:自描述性强、结构清晰、易于解析。 - **缺点**:相比 JSON 等格式,体积较大。 - **XML 的三个要素** - **模式**:定义 XML 文档结构。 - **XSL (Extensible Stylesheet ...
软件工程与软件安全保障.pptx
最新发布
03-18
这些模型各有优缺点,适用于不同的场景。例如,瀑布模型在需求相对稳定的情况下表现良好,而敏捷开发则更适合需求频繁变化的项目。 **软件需求工程** - **功能性需求**:定义了系统应该提供的服务或功能。 - **非...
什么是网络安全渗透测试?白盒测试、黑盒测试、灰盒测试概念
2201_75362610的博客
03-11 2939
网络安全渗透测试严格定义是一种针对目标网络进行安全检测评估。通常这种测试由专业的网络安全渗透测试专家完成,目的是发现目标网络存在的漏洞以及安全机制方面的隐患并提出改善方法。从事渗透测试的专业人员采用和客相同的方式对目标进行入侵,这样就可以检测网络现有的安全机制是否足以抵挡恶意的进攻根据事先对目标信息的了解程度,网络安全渗透测试方法有黑盒测试,白盒测试和灰盒测试三种。在进行黑盒测试时候,事先假定渗透测试人员先期对目标网络的内部结构和所使用的程序完全不了解,从网络外部对其网络安全进行评估。
IIS测试环境搭建
测试界的彭于晏的博客
09-15 845
1.控制面板->程序->程序和功能->打开或关闭Windows功能->Internet信息服务->Web管理工具,打开如下服务: 2.打开IIS管理器 2.1检查.net框架版本 2.2添加网站 2.3添加网址 物理路径:即项目文件位置 2.4设置文件权限 2.5浏览网站 上面是我收集的一些视频资源,在这个过程中帮到了我很多。如果你不想再体验一次自学时找不到资料,没人解答问题,坚持几天便放弃的感受的话,可以加入我们群【902061117】,里面有各种软件测试资源
【密码科普】第8期 - 白盒密码技术
翼安研习社的博客
01-29 7093
作者|姜钰 来源|翼安研习社 发布时间|2022-01-28 1. 白盒密码为何成为密码工程与密码理论的研究热点 白盒密码是一个古老的密码研究方向,到今天再度被提及,是因为该技术代表了一种适合当今时代的新理念。 白盒密码基于这样的假设,即敌手能够进入密码系统,并获知密码系统中的所有信息。在这样的假设下设计密码系统并保证密码安全就是白盒密码的主要研究内容。 白盒密码(或者理解为密码系统白盒化)就意味着开放密码系统的体系结构和部分细节,其理由有以下几点: 1.1 保障密码系统体系结构不被人知晓(保密),即.
网络安全 黑盒测试和白盒测试
zylm0的博客
03-16 1365
黑盒测试 黑盒测试也就是程序功测试,来测试该程序的功能是否正常。在测试的时候,它会将所有可能的输入数据在程序接口进行测试,来检查该程序的功能是不是符合生产说明标准,是否在输入数据后能够产生准确的输入信息。黑盒测试只能运用在程序的外部结构。 白盒测试 白盒测试也就是内部测试,而且白盒测试是可视的 ...
白盒加密的几个基础问题
u010665790的博客
04-24 1万+
1、白盒加密和黑盒加密,灰盒加密有什么不同?答:白盒加密是一种加密算法技术。传统的加密默认是在黑盒环境中实施的,即攻击者只能看到输入(如明文)或输出(如密文)等有限信息。如果攻击者能够获取到加密时间、电磁辐射、功率消耗等信息而进行侧信道攻击,那么可以称为是灰盒加密。如果攻击者可以完全控制加密的终端,可以知道加密的中间值、加密算法那、甚至修改执行代码。那么称为是白盒攻击。白盒加密是能抵御白盒攻击的加...
安全测试之白盒
weixin_37998428的博客
08-17 3700
1,简短说明 1,什么是白盒测试? 白盒测试又称结构测试、透明盒测试、逻辑驱动测试或基于代码的测试 “白盒”法全面了解程序内部逻辑结构、对所有逻辑路径进行测试 “白盒”法是穷举路径测试 2,什么是黑盒测试? 功能测试,着眼于程序外部结构,不考虑内部逻辑结构 主要针对软件界面和软件功能进行测试 2,常见安全测试问题 1,白盒测试常见问题【常用测试工具:HP-Fortify】 1....
白盒测试和黑盒测试的优缺点
热门推荐
erix1991的专栏
11-19 5万+
白盒测试和黑盒测试是软件测试的两种基本方法   =================================黑盒测试===========================================                  1. 黑盒测试的优点有 : 1) 比较简单,不需要了解程序的内部的代码及实现                         2) 与软件的内部实现
黑盒攻击与白盒攻击
山里娃的博客
09-01 5195
基本定义 白盒攻击 假设我们图像的数组为x,模型已经正确分类到y_true,这时我们需要进行白盒攻击,微小地修改图像数组x使得模型将其分类到y1 给模型输入(x,y1)获取到模型在输入x上的梯度,这里的x便是图像的数组表示 依据梯度,在图像上进行调整,以达到减小误差,判断是否此时模型将其分类到y1 重复2、3步,直到模型将其分类到y1或者超出时间限制 使用的算法主要有两个思想:每次将梯度等比放大...
安卓安全白盒测试介绍
anquanniu的博客
09-24 862
白盒攻击 白盒攻击者对终端具有完全控制的能力,能够观测和修改程序运行时的内部数据,包括内存信息,磁盘的读写权限等。在程序运行时就可以dump出内存中的数据,从而使运行在内存中的密钥不再安全。这种攻击环境称为白盒攻击。 像拥有最高权限的Android、iOS等设备(Root或者越狱后)的情况下就是一个白盒攻击环境。 一般常用的白盒攻击分析工具有JEB,IDA Pro,OllyDbg,VMware,Hopper等 白盒密码 白盒密码是指能够在白盒环境下抵御攻击的一种特殊的加密方法。它的目是不在运行环境中出现完整
黑盒测试和白盒测试的优缺点分析
05-09
黑盒测试和白盒测试是软件测试的两种常见方法,它们各自有优缺点,下面是它们的分析黑盒测试: 优点: 1. 由于黑盒测试不需要知道软件的内部结构和代码实现,因此可以在短时间内进行测试。 2. 黑盒测试能够测试...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值