滲透測試和代碼審計如何選擇

兩者各有優勢按需選擇，滲透測試的目標是一個黑盒子，我們并不關心軟件產品內部的代碼結構，我們只通過對這個網站發起一些參數提交POC惡意參數，來達到我們利用某個漏洞挖掘出的一些攻擊效果屬于黑盒測試的一種，而代碼審計是直接拿到網站的源代碼進行漏洞挖掘，也稱為白盒測試，選擇哪種是根據客戶和現有資料來確定的。

• 滲透測試和代碼審計的關系

  • 滲透測試：能夠相對于發現操作系統和網絡服務綜合性的安全，因為滲透測試是在已經成熟的網絡環境中去操作。（網絡架構，后臺服務器等）

  • 代碼審計：更多的是一個靜態的代碼審計，白盒測試則是徹底地發現代碼的風險

  • 兩者的關系

    • 相互補充，相互強化（黑盒測試通過外層進行嗅探挖掘，白盒測試從內部充分發現源代碼中的漏洞風險）

    • 代碼審計發現問題，滲透測試確定漏洞的可利用性

    • 滲透測試發現問題，代碼審計確定成因

回答所涉及的環境：聯想天逸510S、Windows 10。