@贝壳儿
1年前 提问
1个回答

渗透测试和代码审计如何选择

Ann
1年前

两者各有优势按需选择,渗透测试的目标是一个黑盒子,我们并不关心软件产品内部的代码结构,我们只通过对这个网站发起一些参数提交POC恶意参数,来达到我们利用某个漏洞挖掘出的一些攻击效果属于黑盒测试的一种,而代码审计是直接拿到网站的源代码进行漏洞挖掘,也称为白盒测试,选择哪种是根据客户和现有资料来确定的。

  • 渗透测试和代码审计的关系

    • 渗透测试:能够相对于发现操作系统和网络服务综合性的安全,因为渗透测试是在已经成熟的网络环境中去操作。(网络架构,后台服务器等)

    • 代码审计:更多的是一个静态的代码审计,白盒测试则是彻底地发现代码的风险

    • 两者的关系

      • 相互补充,相互强化(黑盒测试通过外层进行嗅探挖掘,白盒测试从内部充分发现源代码中的漏洞风险)

      • 代码审计发现问题,渗透测试确定漏洞的可利用性

      • 渗透测试发现问题,代码审计确定成因