基于主機的掃描:針對運行軟件的主機系統(tǒng),檢查操作系統(tǒng)、應(yīng)用程序等的配置和漏洞。工具如 Microsoft Baseline Security Analyzer(MBSA),可檢測 Windows 系統(tǒng)上的安全更新缺失、不安全的系統(tǒng)配置(如密碼策略、賬戶鎖定策略等)以及與軟件相關(guān)的安全問題。它通過檢查系統(tǒng)注冊表、文件權(quán)限、服務(wù)狀態(tài)等方面來發(fā)現(xiàn)潛在風(fēng)險。
滲透測試
黑盒滲透測試:測試人員在不了解軟件內(nèi)部結(jié)構(gòu)的情況下,模擬黑客攻擊手段對軟件進行安全性測試。例如,通過在 Web 應(yīng)用的輸入框中輸入惡意的 SQL 語句,試圖繞過登錄驗證或者獲取數(shù)據(jù)庫中的敏感信息,這就是典型的 SQL 注入滲透測試。還可以嘗試?yán)?XSS(跨站腳本攻擊)漏洞,向 Web 頁面中注入惡意腳本,查看是否能夠執(zhí)行并竊取用戶信息或執(zhí)行其他惡意操作。