如果白盒审核也是可能的话，黑盒渗透测试是否有意义？

Question

假设我负责公司的一个应用程序，我决定雇用安全专家来执行安全审核。让我们进一步假设我的公司拥有应用程序的源代码，并且允许我将其交给雇用的专家。

有什么好的理由比安全源代码审查更喜欢黑盒渗透测试吗？在我看来，源代码审核比黑盒渗透测试更快、更有效地识别关键漏洞。为什么我要让安全专家在黑暗中锤击我的应用程序，因为我可以向他提供内部信息，如系统配置和源代码，以帮助他更好地指导他的工作。

为了避免混淆--当我谈到安全源代码审查时，我假设我将允许安全专家对应用程序执行测试，验证他们的发现并尝试不同的攻击。审计的目的是找出缺陷，提高应用程序的安全性。

Answer 1

源代码审查通常比黑匣子内容更有效。@Demento，你阐述了原因。而且，除了这些第一原则的理由，经验性的源代码审查发现了比黑匣子更多的漏洞。如果将源代码审查与体系结构风险分析( Microsoft称为威胁建模)结合起来，则尤其如此。

黑匣子的最大优点是它便宜得多，所需的专业知识也较少。这就是为什么你看到这么多人使用黑匣子的原因之一:它要便宜得多，而且仍然能捕捉到相当一部分的漏洞。

就我个人而言，我建议，如果您使用源代码审查，您也应该将它与黑匣子进行合并。黑匣子的赋值将仅为源代码审查成本的一小部分.经验性数据表明，黑匣子的戊四加+源代码审查发现的bug比任何一个单独发现的都多。因此，即使您已经在对源代码进行审查，黑匣子的边际效用可能也是值得的。