当甲方要求出具第三方软件安全测评报告,可以选择测试项有以下:渗透测试、常规安全、漏洞扫描、代码审计、安全评估。
这次由一航软件测评小编分解一下渗透测试。
一.渗透测试
>通过模拟恶意攻击者进行攻击,来评估系统安全的一种评估方法:
>从攻击的角度测试软件系统是否安全;
>使用工具或者手工的方法模拟攻击者的输入,找出运行时刻目标系统所存在的安全漏洞。
.渗透测试优点:
>找出来的问题都是真实的,也是较为严重的。三.渗透测试缺点:
>只能到达有限的测试点,覆盖率较低
二.渗透测试分类-根据渗透方法分类
一.白盒测试:
>测试者将拥有所有的内部知识,并可以在不需要害怕被阻断的情况下任意地实施破坏;
>适用于时间比较紧急,或是特定的渗透测试环境如情报收集并不在范围之内的测试场景。
二.黑盒测试:
>依靠测试人员的能力探测获取目标系统的信息
通常不需要找出目标系统的所有安全漏洞;
>测试客户组织的应急响应程序,也无法判断出他们的安全防护计划对检测特定攻击的效率,
需要了解其它安全测试类型联系小编。