五分鐘速讀資安掃描差異及導入經驗
在海棠設計經手過的專案種類眾多,無論是平台或是APP,資安一直是我們及客戶著重的必備項目,尤其在金融業 / 科技業,已有多次落實經驗,本篇分享常見導入資安驗證方式及差異。
專案驗收階段需要交付弱掃及壓測報告,那滲透測試、黑箱白箱又是什麼?如果對這些名詞有點熟悉又陌生,跟我一樣每個字都懂,拼湊在一起直接KO。五分鐘倒計時,開始!首先,弱掃和壓測絕對是兩回事(廢話)
弱點掃描:使用自動化工具對網站、系統進行檢測
弱點掃描是針對已知的、可能存在的問題去做漏洞檢查,其範圍可以包涵整體系統、主機等。
- 確認範圍
- 資訊蒐集
- 弱點掃描
- 滲透測試
- 報告撰寫
依據上述步驟可以發現,弱點掃描是滲透測試的前一個步驟。
滲透測試:由測試員撰寫腳本,以惡意使用者思維嘗試入侵並找出漏洞
測試者可藉由弱點掃描結果驗證是否能夠利用這些弱點入侵,範圍較具有針對性。目的在於滲透系統找出漏洞,了解其損害程度。
不像弱點掃描,這世界上沒有自動化滲透測試流程,滲透測試需要使用工具,有時需要很多工具,然更重要是需要有資安知識與經驗的技術人員,所需時間依據需求範圍從星期到月而有所不同。
結論,滲透測試費用較弱點掃描貴很多🙃🙃
在壓力測試之前,可以先了解軟體測試
軟體測試:一種促進鑑定軟體的正確性、完整性、安全性和品質的過程
這是一個過程,每階段會有不同的測試種類及方法,可分為四個階段。
- 單元測試:針對最小單位、模組做檢驗測試。常用方法:白箱測試。
- 整合測試:對系統介面及功能整合後進行測試。常用方法:黑箱測試。
- 系統測試:檢測系統於實際環境下搭配硬、軟體是否能符合期待。測試內容包含功能、介面、性能、壓力、易用性等。常用方法:黑箱測試。
- 驗收測試:以使用者為主的測試。常用方法:黑箱測試。
專案開發過程需經過無數種類的內測,但是完全測試是不可能的,我們做不到完整、完美的檢測,只能盡可能地將風險降到最低,做到防患未然,所以不要再質疑為什麼開發時程開這麼長了啊(抹臉)
看到壓力測試了嗎,沒看到再倒回去看一下
壓力測試:讓系統在超過正常使用條件下測試其性能、可靠性、穩定性等
壓力測試是軟體測試的一種類型,透過對系統不斷施壓計算系統極限,判斷何為異常狀態,以及異常如何處理。
來自壓力測試的靈魂拷問,某個時間段網站突然湧入大量使用者,會發生什麼事?測試結果會告訴你,系統在什麼狀況下會損壞,是否符合預期規格。
黑箱、白箱,到底是什麼顏色?
黑箱、白箱測試是軟體測試的方法。前面提到軟體測試階段分法時,有提到黑白箱,先來看認真又白話的解釋。
黑箱測試:測試者不需要了解內部結構,只考慮輸入和輸出
以使用者的角度出發,從外面看這個系統就像一個看不到內部結構的黑色盒子,直接以直觀反應測試確認介面、功能是否正確。
黑箱測試又稱為功能測試,作為沒有門檻的測試方式適合大部分軟體測試,測試者一般按照訂定規格、規則、需求進行驗證。
白箱測試:測試者了解軟體結構,從程式設計者角度進行測試
以程式設計角度出發,測試者清楚知道系統結構及邏輯,可建立測試案例確認所有可見流程都可以被執行。
和黑箱測試相反,由於需要擁有相關程式知識,甚至是由程式設計師來執行,因此白箱測試也較為複雜,但同時白箱測試也較容易實現自動化測試。
黑箱、白箱,只要能發現問題都是好箱
黑箱測試與白箱測試因為角度不同,較明顯的優缺點通常是相對的。例如因為是以使用者角度出發,黑箱測試時因操作介面、單元、流程需要耗費較多時間;而白箱測試是按照一般使用者情境測試,無法發現原本就遺漏的功能。
因此測試時不會只做單一方法使用,會經過交叉使用驗證系統規格。
分享到這邊,再講下去我會離家出走(喂)
如果有任何補充說明也可以分享讓我知道,有緣再見👋🏻
