Web应用程序实现与Web应用程序安全审计的区别

Question

我很难在Web应用程序和Web应用程序安全审计之间划清界限。

例如，OWASP测试指南可以用于这两种情况。

比方说，戊酯和审计师在企业内部工作:因此，他们可以访问相同的资源，如体系结构、文档等。

我明白，对一个五酯来说，利用弱点是最终的目标。但是，看起来发现五酯和审计师的漏洞的过程是一样的。

因此，审计师的工作可能看起来像一个漏洞评估。

Answer 1

我在争论是否要回答，因为这可能是某种程度上的意见问题.

有些客户喜欢一些名字，另一些客户喜欢其他人。目的是一样的，结果也是一样的。所以..。它各不相同。

我已经对web应用程序和黑/灰盒风格的审计进行了渗透测试(有和没有访问开发团队的权限，等等)，方法和输出都是相同的。

在这两种情况下，您都要按照一定的方法测试应用程序，以确定它是否容易受到攻击、攻击、后果以及如何减轻这些问题。其结果通常是一份报告，其中载有对检测到的脆弱性清单的技术风险评估，包括缓解建议，以及对某种结果的讨论。

Answer 2

安全审计遵循严格的标准或规则，具有更多的访问权限，通常用于遵从性。随从不遵循规则，它被用来发现任何易受攻击的东西，而不遵守任何标准或规则。