2022年03月04日来源:信管网 作者:cnitpm
信息安全工程师关于模糊测试,哪些说法是错误的?
信管网考友
信息系统安全测评方法中模糊测试是一种黑盒测试技术,它将大量的畸形数据输入到目标程序中,通过监测程序的异常来发现被测程序中可能存在的安全漏洞、关于模糊测试,以下说法错误的是()
A.与白盒测试相比,具有更好的适用性
B.模糊测试是一种自动化的动态漏洞挖掘技术,不存在误报,也不需要人工进行大量的逆向分析工作
C.模糊测试不需要程序的源代码就可以发现问题
D.模糊测试受限于被测系统的内部实现细节和复杂度
信管网考友
模糊测试不需要系统的内部实现细节和复杂度
信管网考友
sqlmap测试工具的原理就是模糊测试,xray被动扫描器也属于模糊测试,但是二者皆存在一定形式的误报,而且都需要人为的去验证漏洞的真实存在,所以我认为模糊测试不存在误报这一点可能过于绝对,希望哪个大佬可以解惑一下
信管网考友
模糊测试不需要知道内部细节,也不知道内部细节,因此不存在“受限于”。
信管网考友
模糊测试属于黑盒测试,在于模仿人的操作,故不知细节
信管网考友
信管网参考答案: D(仅供参考,欢迎评论交流)
信管网解析:
本题考查信息系统安全测评方法。
信息系统安全测评方法中的模糊测试是一种黑盒测试技术,它将大量的畸形数据输入到目标程序中,通过监测程序的异常来发现被测程序中可能存在的安全漏洞。模糊测试不需要程序的源代码就可以发现问题,是一种自动化的动态漏洞挖掘技术,不存在误报,也不需要人工进行大量的逆向分析工作与白盒测试相比,具有更好的适用性。
温馨提示:因考试政策、内容不断变化与调整,信管网提供的以上信息仅供参考,如有异议,请考生以权威部门公布的内容为准!
相关推荐