原因其实很简单。黑盒和白盒测试的本质区别在于源代码的访问权。白盒测试有这个权利,所以它有更多的资源和信息来测试。当然,事情会变得容易得多。黑盒测试看不到源代码,可以花更多的时间和技能去发现白盒测试人员发现的。bug。
我做黑盒测试已经四年多了。我是一个真正的黑盒测试员,但我有权访问源代码,也就是说,虽然我做了黑盒测试,但我的信息并不比白盒测试仪少。随着我的黑盒测试经验和技能的提高,我突然发现我完全依赖源代码提供的信息。如果没有源代码,我的黑盒测试将变得更加复杂、困难,甚至更加困难。无法实现。这也让我觉得黑盒测试比白盒测试更困难。
赛门铁克出版的赛门铁克《TheArtofSoftwareSecurityTest》一本书里有句话。我觉得这本书很普通,但它反映了这个道理,那就是“白盒测试,一家公司可以组建一个测试团队,但黑盒测试,可能很少有公司有这种能力。你只能出去雇佣一家专业的公司,成本很高,但值得。”
人们经常听到人们抱怨“我在公司做黑盒测试,没有技术含量。我的目标是转白盒测试”。我总觉得这句话可以质疑,希望能看到我的文章。以后不要发出这样的声音,更不要把它作为不提高测试技能的冠冕堂皇借口。
为什么我们大多数人,包括我自己,都认为黑盒测试没有白盒测试那么熟练? 那是因为我们大多数人都在做低端的黑盒测试。很久以前,我认为黑客使用黑盒测试来寻找安全漏洞。我们怎么能说黑盒测试是低技术的? 有更深入、更丰富的理解和经验。
作为一名黑盒测试人员,没有人会要求你没有白盒测试能力。如果你有权访问源代码,那就太好了。您可以利用这一优势来查看源代码获得的信息。进入您的黑盒测试。如果您不能访问源代码,则不会阻止您在该领域进行探索和实践。如果你的项目是Java,.NET,如果你的项目是C,C,可以反汇编。总之,所谓白盒测试能力,就是在代码中定位一个bug,它是什么代码,为什么会出现这个代码bug? 它可以设计代码级测试用例。一般来说,这个级别的要求是具有良好的代码读写能力。
安全测试和白盒测试的根本区别在于安全意识和黑客思维。有一本书《WritingSecureCode》提到“你可以训练一个人测试安全特征的能力,很难训练一个人有黑客的思维方式。如果你找到这样的人,你会雇佣他” ”。这一级别的人必须有良好的安全意识,知道各种攻击方法。当发现一个时bug他们必须有安全判断,比如“是否有安全漏洞”,“黑客能不能用?”,“有多严重”等等。同样,你的测试内容应该包括大 安全测试用例的数量。
黑客等级要求更高。安全测试只是分析“黑客能不能用?”,黑客必须分析“如何利用”并编写攻击代码进行攻击。至少对我来说,他们需要精通汇编程。
我曾经认为,多年的开发经验对于安全测试或高端测试至关重要,可能无法通过实践来证明。同样,为了进行高端测试,你也不必先进行白盒测试。根据我个人的经验,只要你有自己的心,只要你有自己的心,你总是可以发展和改进。外部环境很重要,但决定性的因素仍然是你自己。安全测试完全脱离了我的工作内容和责任,但在一个月内,我发现了四个安全漏洞。如果你也能在你的项目中找到安全漏洞,公司怎么能忽视你呢?