模糊測試
模糊測試 (fuzz testing, fuzzing)是一種軟件測試技術。其核心思想是自動或半自動的生成隨機數據輸入到一個程序中,並監視程序異常,如崩潰,斷言(assertion)失敗,以發現可能的程序錯誤,比如內存泄漏。模糊測試常常用於檢測軟件或計算機系統的安全漏洞。
模糊測試的實現是一個非常簡單的過程:
1、準備一份插入程序中的正確的文件。
2、用隨機數據替換該文件的某些部分。
3、用程序打開文件。
4、觀察破壞了什麼。
可以用任意多種方式改變該隨機數據。例如,可以將整個文件打亂,而不是僅替換其中的一部分,也可以將該文件限制爲 ASCII 文本或非零字節。不管用什麼方式進行分割,關鍵是將大量隨機數據放入應用程序並觀察出故障的是什麼。
黑盒測試
黑盒測試也稱功能測試,它是通過測試來檢測每個功能是否都能正常使用。在測試中,把程序看作一個不能打開的黑盒子,在完全不考慮程序內部結構和內部特性的情況下,在程序接口進行測試,它只檢查程序功能是否按照需求規格說明書的規定正常使用,程序是否能適當地接收輸入數據而產生正確的輸出信息。黑盒測試着眼於程序外部結構,不考慮內部邏輯結構,主要針對軟件界面和軟件功能進行測試。
黑盒測試是以用戶的角度,從輸入數據與輸出數據的對應關係出發進行測試的。很明顯,如果外部特性本身設計有問題或規格說明的規定有誤,用黑盒測試方法是發現不了的。
以上是度孃的概念,簡單來說,黑盒測試就是在不知道程序具體內容的情況下,按規定內的數據(格式)輸入,檢查是否能達到預期的經過程序正常處理的效果,找到出現非預期結果的那些錯誤。(一般不會窮舉,所以沒找到並不等於完全安全)
黑盒測試的主要作用:
黑盒測試法注重於測試軟件的功能需求,主要試圖發現下列幾類錯誤。
1.功能不正確或遺漏;
2.界面錯誤;
3.輸入和輸出錯誤;
4.數據庫訪問錯誤;
5.性能錯誤;
6.初始化和終止錯誤等。
白盒測試
- 又稱爲透明盒測試、邏輯驅動測試
- 是測試被測單元內部如何工作的一種測試方案(單元測試)
- 根據程序內部邏輯結構及相關信息來設計和選擇測試用例,對程序的邏輯結構進行測試
-
可覆蓋全部代碼、分支、條件和路徑等
白盒測試是一種測試用例設計方法,盒子指的是被測試的軟件,白盒指的是盒子是可視的,你清楚盒子內部的東西以及裏面是如何運作的。"白盒"法全面瞭解程序內部邏輯結構、對所有邏輯路徑進行測試。"白盒"法是窮舉路徑測試。在使用這一方案時,測試者必須檢查程序的內部結構,從檢查程序的邏輯着手,得出測試數據。
滲透測試
滲透測試是通過模擬惡意黑客的攻擊方法,來評估計算機網絡系統安全的一種評估方法。這個過程包括對系統的任何弱點、技術缺陷或漏洞的主動分析,這個分析是從一個攻擊者可能存在的位置來進行的,並且從這個位置有條件主動利用安全漏洞。
換句話來說,滲透測試是指滲透人員在不同的位置(比如從內網、從外網等位置)利用各種手段對某個特定網絡進行測試,以期發現和挖掘系統中存在的漏洞,然後輸出滲透測試報告,並提交給網絡所有者。網絡所有者根據滲透人員提供的滲透測試報告,可以清晰知曉系統中存在的安全隱患和問題。
打一個比方來解釋滲透測試的必要性。假設你要修建一座金庫,並且你按照建設規範將金庫建好了。此時是否就可以將金庫立即投入使用呢?肯定不是!因爲還不清楚整個金庫系統的安全性如何,是否能夠確保存放在金庫的貴重東西萬無一失。那麼此時該如何做?可以請一些行業中安全方面的專家對這個金庫進行全面檢測和評估,比如檢查金庫門是否容易被破壞,檢查金庫的報警系統是否在異常出現的時候及時報警,檢查所有的門、窗、通道等重點易突破的部位是否牢不可破,檢查金庫的管理安全制度、視頻安防監控系統、出入口控制等等。甚至會請專人模擬入侵金庫,驗證金庫的實際安全性,期望發現存在的問題。 這個過程就好比是對金庫的滲透測試。這裏金庫就像是我們的信息系統,各種測試、檢查、模擬入侵就是滲透測試。
滲透測試方法分類
1、黑箱測試
黑箱測試又被稱爲所謂的“Zero-Knowledge Testing”,滲透者完全處於對系統一無所知的狀態,通常這類型測試,最初的信息獲取來自於DNS、Web、Email及各種公開對外的服務器。
2、白盒測試
白盒測試與黑箱測試恰恰相反,測試者可以通過正常渠道向被測單位取得各種資料,包括網絡拓撲、員工資料甚至網站或其它程序的代碼片斷,也能夠與單位的其它員工(銷售、程序員、管理者……)進行面對面的溝通。這類測試的目的是模擬企業內部僱員的越權操作。
3、隱祕測試
隱祕測試是對被測單位而言的,通常情況下,接受滲透測試的單位網絡管理部門會收到通知:在某些時段進行測試。因此能夠監測網絡中出現的變化。但隱祕測試則被測單位也僅有極少數人知曉測試的存在,因此能夠有效地檢驗單位中的信息安全事件監控、響應、恢復做得是否到位。