渗透测试中的白盒测试是指_渗透测试中的白盒测试

hacker|
232

渗透测试有哪些

渗透测试分为两种基本类型,白盒测试和黑盒测试。

1、白盒测试

也被称为白帽测试,是指渗透测试者在拥有客户组织所有知识的情况下所进行的测试。

使用白盒测试,需要和客户组织一起工作,来识别出潜在的安全风险。

白盒测试的最大好处是测试者将拥有所有的内部知识,并可以在不需要害怕被阻断的情况下任意地实施破坏。

而白盒测试最大的问题在于无法有效地测试客户组织的应急响应程序,也无法判断出他们的安全防护计划对检测特定攻击的效率。

白盒测试适用于时间比较紧急,或是特定的渗透测试环境,如情报收集并不在范围之内的测试场景。

2、黑盒测试

模拟一个对客户组织一无所知的攻击者所进行的渗透攻击。

经过授权的黑盒测试是设计成为模拟攻击者的入侵行为,并在不了解客户组织大部分信息和知识的情况下实施的。

黑盒测试可以用来测试内部安全团队检测和应对一次攻击的能力。

黑盒测试比较费时,同时对技术要求比较高。在安全业界的渗透测试眼中,黑盒测试能更逼真地模拟了一次真正的攻击过程。

黑盒测试依靠测试人员的能力探测获取目标系统的信息,作为一次黑盒测试的渗透测试者,通常不需要找出目标系统的所有安全漏洞,而只需要尝试找出并利用可以获取目标系统访问权代价最小的攻击路径,并保证不被检测到。

客户组织执行以下哪项测试?

白盒测试。渗透测试者在拥有客户组织所有知识的情况下所进行的测试,叫做白盒测试,白盒测试又称结构测试、透明盒测试、逻辑驱动测试或基于代码的测试。白盒测试是一种测试用例设计方法。

白盒测试的原理是什么?

白盒测试又称结构测试、透明盒测试、逻辑驱动测试或基于代码的测试。白盒测试是一种测试用例设计方法,盒子指的是被测试的软件,白盒指的是盒子是可视的,即清楚盒子内部的东西以及里面是如何运作的。

"白盒"法全面了解程序内部逻辑结构、对所有逻辑路径进行测试。"白盒"法是穷举路径测试。在使用这一方案时,测试者必须检查程序的内部结构,从检查程序的逻辑着手,得出测试数据。贯穿程序的独立路径数是天文数字。

该方法把测试对象看做一个透明的盒子,测试人员能了解程序的内容结构和处理过程,以检查处理过程为目的,对程序中尽可能多的逻辑路径进行测试,在所有的点检验内部控制结构和数据结构是否和预期的相同。

扩展资料:

白盒测试的测试方法有代码检查法、静态结构分析法、静态质量度量法、逻辑覆盖法、基本路径测试法、域测试、符号测试、路径覆盖和程序变异。

白盒测试法的覆盖标准有逻辑覆盖、循环覆盖和基本路径测试。其中逻辑覆盖包括语句覆盖、判定覆盖、条件覆盖、判定/条件覆盖、条件组合覆盖和路径覆盖。六种覆盖标准发现错误的能力呈由弱到强的变化:

1.语句覆盖每条语句至少执行一次。

2.判定覆盖每个判定的每个分支至少执行一次。

3.条件覆盖每个判定的每个条件应取到各种可能的值。

4.判定/条件覆盖同时满足判定覆盖条件覆盖。

5.条件组合覆盖每个判定中各条件的每一种组合至少出现一次。

6.路径覆盖使程序中每一条可能的路径至少执行一次。

黑盒测试,白盒测试和灰盒测试的区别

1黑盒测试

黑盒,顾名思义,就是把所有东西装到一个盒子里,看不到内部逻辑,只能通过外部的可见的功能模块,对软件进行测试。

比如说一个网站的登陆功能,你不知道它的内部逻辑是怎样的,只能通过网页的注册输入文本框和注册按钮,来测试注册这个功能是否正常。一般黑盒测试也叫数据驱动测试或者功能测试(通过输入数据来确定功能是否完整是否正常),一般它所关注的点如下:

1、是否有不正确或遗漏的功能?

2、在接口上,输入是否能正确的接受?能否输出正确的结果?

3、是否有数据结构错误或外部信息(例如数据文件)访问错误?

4、性能上是否能够满足要求?

5、是否有初始化或终止性错误?

2白盒测试白盒测试是对软件的过程性细节做细致的检查。这种方法是把测试对象看做一个打开的盒子,它允许测试人员利用程序内部的逻辑结构及有关信息,设计或选择测试用例,对程序所有逻辑路径进行测试。通过在不同点检查程序状态,确定实际状态是否与预期的状态一致。因此白盒测试又称为结构测试或逻辑驱动测试。(一般的接口测试也可以理解为白盒测试,你自己清楚的知道各个业务流的逻辑走向,可以有效的制定一些测试用例,不需要盲目的通过功能点去做各项测试)

白盒测试主要是想对程序模块进行如下检查:

1、对程序模块的所有独立的执行路径至少测试一遍。

2、对所有的逻辑判定,取“真"与取“假”的两种情况都能至少测一遍。

3、在循环的边界和运行的界限内执行循环体。

4、测试内部数据结构的有效性,等等。

灰盒测试

灰盒测试,是介于白盒测试与黑盒测试之间的,可以这样理解,灰盒测试关注输出对于输入的正确性,同时也关注内部表现,但这种关注不象白盒那样详细、完整,只是通过一些表征性的现象、事件、标志来判断内部的运行状态,有时候输出是正确的,但内部其实已经错误了,这种情况非常多,如果每次都通过白盒测试来操作,效率会很低,因此需要采取这样的一种灰盒的方法

但是实际上灰盒测试用到的领域挺少的,这里就不再详细介绍。

更多软件测试基础知识分享一个免费学习链接:

下期软件测试大师订阅号预告:

每周推荐一部好电影,敬请期待。

什么是白盒测试和黑盒测试?有什么区别?

白盒测试:

是指实际运行被测程序,通过程序的源代码进行测试而不使用用户界面。这种类型的测试需要从代码句法发现内部代码在算法、溢出、路径和条件等方面的缺点或者错误,进而加以修正。

黑盒测试:

又称功能测试、数据驱动测试或基于规格说明的测试,是通过使用整个软件或某种软件功能来严格地测试,,而并没有通过检查程序的源代码,或者很清楚地了解该软件的源代码程序具体是怎样设计的。测试人员通过输入他们的数据看输出的结果,从而了解软件怎样工作。应该更适合测试网页游戏。

区别一:从定义上

白盒测试需要从代码句法发现内部代码在算法,溢出,路径,条件等等中的缺点或者错误,进而加以修正。而黑盒测试着重测试软件功能,它并不涉及程序的内部结构和内容特性。黑盒测试并不能取代白盒测试,它与白盒是互补的测试方法,它很可能发现白盒测试不易发现的其他类型错误。

区别二:从测试目的上

黑盒测试的目的是检测是否有不正确或遗漏的功能;数据或者参数上,输入能否正确接收;是否有数据结构错误或外部信息访问错误;性能上是否能够满足要求;是否有初始化或终止性错误。而白盒测试的目的是通过在不同点检查程序的状态,确定实际的状态是否与预期的状态一致,而不顾它的功能。

区别三:检测方式上

白盒测试是穷举路径测试,黑盒测试是穷举输入测试,这两种方法是基于完全不同的观点,反应了事物的两个极端,它们各有侧重和优势,但不能彼此替代。在现代的测试理念中,这两种测试方法不是截然分开的,而是交叉使用。

扩展资料

白盒测试的优点:

1.能仔细考虑软件的实现

2.可检测代码中的每条分支和路径

3.揭示隐藏在代码中的错误

4.对代码的测试比较彻底

白盒测试的缺点:

1.昂贵

2.无法检测代码中遗漏的路径和数据敏感性错误

3.不验证规格的正确性

黑盒测试的优点:

1.对于子系统甚至系统效率要比白盒测试高

2.测试人员不需要了解实现的细节(特定编程语言)

3.测试人员和编程人员彼此独立

4.从用户的角度进行测试很容易理解和接受

5.有助于暴露规格的不一致或有歧义的问题

6.测试用例可以在规格完成后马上进行

黑盒测试的缺点: 

1.只有一小部分输入被测试到,要测试每个可能的输入几乎不可能。

2.没有清晰、简明的规格,测试用例很难设计。

3.如果测试人员不被告知开发人员已经执行过的用例,在测试数据上会存在不必要的重复。

4.有很多程序路径没有被测试到。

5.不能直接针对特定程序段测试,而这些程序段可能很复杂,有可能隐藏更多的问题。

6.大部分和研究相关的测试都是直接针对白盒测试的。

参考资料:百度百科-黑盒测试白盒测试

0条大神的评论

发表评论