聯(lián)系請致電:15378720700 河南億恩科技有限公司���,專注IDC服務(wù)13年�����,華中地區(qū)最大IDC服務(wù)商�。
BGP新機(jī)房優(yōu)惠活動正在進(jìn)行中���。。���。期待您的加入����。
白盒測試
如果把黑盒測試比喻成中醫(yī)看病,那么白盒測試無疑就是西醫(yī)看病了����。測試人員采用各種儀器和設(shè)備對軟件進(jìn)行檢測,甚至把軟件擺上手術(shù)臺解剖來看個究竟��。白盒測試是一種以理解軟件內(nèi)部結(jié)構(gòu)和程序運(yùn)行方式為基礎(chǔ)的軟件測試技術(shù)��,通常需要跟蹤一個輸入經(jīng)過了哪些處理�����,這些處理方式是否正確����。
在很多測試人員,尤其是初級測試人員看來����,白盒測試是一種只有非常了解程序代碼的高級測試人員才能做的測試。熟悉代碼結(jié)構(gòu)和功能實現(xiàn)的過程當(dāng)然對測試有很大的幫助���,但是從黑盒測試與白盒測試的區(qū)別可以看出���,有些白盒測試是不需要測試人員懂得每一行程序代碼的�。
如果把軟件看成一個黑箱�,那么白盒測試的關(guān)鍵是給測試人員戴上一副X光透視眼鏡,測試人員通過這副X光透視眼鏡可以看清楚輸入到黑箱中的數(shù)據(jù)是怎樣流轉(zhuǎn)的�。
一些測試工具就像醫(yī)院的檢測儀器一樣,可以幫助了解程序的內(nèi)部運(yùn)轉(zhuǎn)過程�����。例如���,對于一個與SQL Server數(shù)據(jù)庫連接的軟件系統(tǒng)�����,可以簡單地把程序的作用理解為:把用戶輸入的數(shù)據(jù)通過SQL命令請求后臺數(shù)據(jù)庫�����,數(shù)據(jù)庫把請求的數(shù)據(jù)返回給程序的界面層展示給用戶�����。可以把SQL Server自帶的工具事件探查器當(dāng)成是一個檢查SQL數(shù)據(jù)傳輸?shù)木軆x器,它可以記錄軟件客戶端與服務(wù)器數(shù)據(jù)庫之間交互的一舉一動��,從而讓測試人員可以洞悉軟件究竟做了哪些動作����。
在測試過程中,應(yīng)該綜合應(yīng)用黑盒測試方法和白盒測試方法��,按需要采用不同的技術(shù)組合�����。不要用黑盒測試方法和白盒測試方法來劃分自己屬于哪一類測試人員��,一名優(yōu)秀的測試人員應(yīng)該懂得各種各樣的測試技術(shù)和查找Bug的手段�。
最后我們談?wù)勑碌姆阑饓栴}。到目前為止�,我們都是側(cè)重于預(yù)防措施。但在現(xiàn)實世界中���,我們不可能總是改編程序和環(huán)境��,所以我們必須采用其他技術(shù)措施�����。這就是為什么會產(chǎn)生新的防火墻�����。
防火墻用于應(yīng)用程序或者監(jiān)控流量的運(yùn)行監(jiān)控�,也可以在執(zhí)行運(yùn)行時進(jìn)行分析。防火墻可以找出攻擊���,并阻止嘗試或修改的要求�����,來確保WEB服務(wù)器和數(shù)據(jù)庫服務(wù)器的安全運(yùn)行����。
目前不光有WEB應(yīng)用防火墻和網(wǎng)絡(luò)防火墻能防范攻擊者透過應(yīng)用層和網(wǎng)絡(luò)層的攻擊�����;“數(shù)據(jù)庫防火墻”也于這兩年在不斷的數(shù)據(jù)庫泄密事件中出現(xiàn)在公眾的視線里��,國內(nèi)稱之為“數(shù)據(jù)庫審計”產(chǎn)品���,這些產(chǎn)品能給數(shù)據(jù)庫提供實時的網(wǎng)絡(luò)存儲與訪問的安全�����。
任何一個好的數(shù)據(jù)庫安全策略都應(yīng)包括監(jiān)控和審計���,以確保保護(hù)對象正常運(yùn)行,并且運(yùn)行在正確的位置上���,這也是個非常耗時的過程�。由于缺乏時間和工具���,大多數(shù)用戶對于數(shù)據(jù)庫配置的檢查往往也僅是抽查而已�����。
這里還需要指出的是目前多數(shù)人認(rèn)為“數(shù)據(jù)庫審計”等同于數(shù)據(jù)庫安全�,事實上����,數(shù)據(jù)庫安全遠(yuǎn)遠(yuǎn)不是數(shù)據(jù)庫審計可以搞定的,數(shù)據(jù)庫審計只是數(shù)據(jù)庫安全的一個很小的方面�,之所以有時候?qū)Φ绕饋恚环矫媸怯捎谑袌鲂麄鲗?dǎo)致的誤導(dǎo)�,另一方面的確是這個部分的問題比較容易產(chǎn)品化/工具化�����,技術(shù)實現(xiàn)相對比較成熟�。數(shù)據(jù)庫安全應(yīng)該包括:數(shù)據(jù)庫資產(chǎn)管理����、數(shù)據(jù)庫配置加固、職責(zé)分離���、特權(quán)用戶控制����、數(shù)據(jù)庫弱點(diǎn)掃描和補(bǔ)丁管理�、數(shù)據(jù)庫加密、數(shù)據(jù)庫審計�。
最后,我們還是回到應(yīng)用程序的安全以及與數(shù)據(jù)庫之間的相互作用問題上�。即我們必須要考慮到的問題是應(yīng)用程序的安全以及與數(shù)據(jù)庫之間的相互作用,尤其是對于當(dāng)今流行的高度動態(tài)的和互動的網(wǎng)絡(luò)應(yīng)用程序而言�����。理解數(shù)據(jù)庫與應(yīng)用程序和系統(tǒng)環(huán)境之間的作用可以更加提升數(shù)據(jù)的安全性。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)���!虛擬主機(jī)域名注冊頂級提供商!15年品質(zhì)保障�����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
