如何分別代碼審計和滲透測試

兩者最本質的區別是滲透測試屬于黑盒測試不知道測試目標的任何信息而且滲透測試不關心軟件產品內部的代碼結構，我們只通過對這個網站發起一些參數提交來進行漏洞挖掘，代碼審計正好相反屬于白盒測試了解測試目標的相關信息和代碼且需要有一定安全經驗的相關人員借助工具或者人工來進行分析審計。

• 滲透測試和代碼審計的關系

  • 滲透測試：能夠相對于發現操作系統和網絡服務綜合性的安全，因為滲透測試是在已經成熟的網絡環境中去操作。（網絡架構，后臺服務器等）

  • 代碼審計：更多的是一個靜態的代碼審計，白盒測試則是徹底地發現代碼的風險

  • 兩者的關系

    • 相互補充，相互強化（黑盒測試通過外層進行嗅探挖掘，白盒測試從內部充分發現源代碼中的漏洞風險）

    • 代碼審計發現問題，滲透測試確定漏洞的可利用性

    • 滲透測試發現問題，代碼審計確定成因

回答所涉及的環境：聯想天逸510S、Windows 10。