安全
測試不 同於滲透
測試,滲透測試側重於幾個點的穿透攻擊,而
安全測試是側重於對安全威脅的建模,系統的對來自各個方面,各個層面威脅的全面考量。安全測試可以告訴 您,您的系統可能會來自哪個方面的威脅,正在遭受哪些威脅,以及您的系統已經可抵禦什麼樣的威脅。當然,安全測試涵蓋滲透測試的部分內容。安全測試與滲透 測試的區別主要在:
滲 透測試考慮的是以黑客方法,從單點上找到利用途徑,證明你有問題,幫助客戶提高認識,也能解決急迫的一些問題,但無法也不能去針對系統做完備性的安全測 試,所以難以解決系統自身實質性的安全問題,所以提供滲透測試的廠商一般都是自己買什麼防護裝置,以自己防護裝置針對的威脅為主要滲透點,找到你有類似的 問題,解決方案就以賣對應的防護裝置作為手段,針對具體的威脅,通過防護裝置採取被動的防護。而安全測試的廠商,則從整體系統 架構,安全編碼,安全測試,安全測試覆蓋性,安全度量等多個因素去考慮問題,提出的解決方法則是逐步幫助客戶引入安全開發
過程,提供相應的工具支撐,目標 是最後讓客戶提公升業務系統自身實質性安全問題。
安全測試首先會對被測試系統做系統分析,分析其架構,軟體體系以及程式部署等等,然後再對被測系統做系統安全分析,在這之後會對系統進行安全建模,明確本系統可能來自的各個潛在威脅,之後需要剖析系統,確認有哪些攻擊介面,根據測試方案進行測試。
安全測試只關注漏洞的可利用性分析,但不關注漏洞如何被真實利用的技術,這當中有幾個因素:
視角因素:安全測試是幫助客戶降低安全威脅,減少安全漏洞。本身是一種防護技術,盡量發現安全問題並指導客戶修復安全問題是關鍵,沿著的路徑是發現 安全問題->分析評估安全問題-〉提出修補建議-〉度量安全,而不是以攻擊者視角發現安全問題-〉利用安全問題-〉獲得非法收益的路徑。對防護方最 有價值的是發現問題,解決問題,而不是發現問題,利用問題。防護方關注都漏洞是否可被利用確定安全漏洞和修復級別就夠了,研究再多的具體攻擊利用技術,對 作業系統級別的防護是有意義的,但是對普通應用系統的開發與使用者則是無價值的。
假 定因素:客戶面臨的風險不僅來自於外部,也可能來自於攻擊者通過客戶端主機的滲透(如通過對某員工筆記本掛馬再接入內網的方式),還有可能來自於內部。安 全要保護全面的安全,我們不能假定攻擊者路徑就一定處於同滲透測試一樣的純外部嚴密防護中,也無法假定攻擊者通過時間積累社工或自身特性(員工)獲取到一 些資訊。同時攻擊利用技術發展到現在,已經和具體應用的特性結合起來,攻擊者時刻有可能發現以前我們認為低危,不好利用的漏洞的利用方法。因此安全測試關 注點是業務系統在失去所有外部防護之後,自身實現的安全性,關注高覆蓋的安全測試和安全度量,而不是單一的滲透測試。
安全測試與功能測試 滲透測試理解與區別?
一 基本理解 安全測試什麼時候開始進行?安全測試是在it軟體產品的生命週期中,特別是產品開發基本完成到發布階段,對產品進行檢驗以驗證產品符合安全需求定義和產品質量標準的過程 安全測試與功能測試的區別 1.目標不同 測試以發現bug為目標,安全測試以發現安全隱患為目標。2.假設條件不同 測試假設導致問...
常規測試 安全測試 滲透測試 區別
一 常規測試 vs 安全測試 常規測試 安全測試 1.目標差異 常規測試以發現bug為目標 安全測試以發現安全隱患為目標 2.假設條件差異 常規測試假設導致問題的資料是使用者不小心造成的,介面一般只考慮使用者介面 安全測試假設導致問題的資料是攻擊者處心積慮構造的,需要考慮所有可能的攻擊途徑 3.思考...
安全測試以及安全測試與滲透測試的區別
安全測試不同於滲透測試,滲透測試側重於幾個點的穿透攻擊,而安全測試是側重於對安全威脅的建模,系統的對來自各個方面,各個層面威脅的全面考量。安全測試可以告訴您,您的系統可能會來自哪個方面的威脅,正在遭受哪些威脅,以及您的系統已經可抵禦什麼樣的威脅。當然,安全測試涵蓋滲透測試的部分內容。安全測試與滲透測...