信管网试题库

信息安全工程师关于模糊测试，哪些说法是错误的？

信管网考友

信息系统安全测评方法中模糊测试是一种黑盒测试技术，它将大量的畸形数据输入到目标程序中，通过监测程序的异常来发现被测程序中可能存在的安全漏洞、关于模糊测试，以下说法错误的是（）

A.与白盒测试相比，具有更好的适用性

B.模糊测试是一种自动化的动态漏洞挖掘技术，不存在误报，也不需要人工进行大量的逆向分析工作

C.模糊测试不需要程序的源代码就可以发现问题

D.模糊测试受限于被测系统的内部实现细节和复杂度

信管网考友

模糊测试不需要系统的内部实现细节和复杂度

信管网考友

sqlmap测试工具的原理就是模糊测试，xray被动扫描器也属于模糊测试，但是二者皆存在一定形式的误报，而且都需要人为的去验证漏洞的真实存在，所以我认为模糊测试不存在误报这一点可能过于绝对，希望哪个大佬可以解惑一下

信管网考友

模糊测试不需要知道内部细节，也不知道内部细节，因此不存在“受限于”。

信管网考友

模糊测试属于黑盒测试，在于模仿人的操作，故不知细节

信管网考友

信管网参考答案: D(仅供参考,欢迎评论交流)

信管网解析:

本题考查信息系统安全测评方法。

信息系统安全测评方法中的模糊测试是一种黑盒测试技术,它将大量的畸形数据输入到目标程序中，通过监测程序的异常来发现被测程序中可能存在的安全漏洞。模糊测试不需要程序的源代码就可以发现问题，是一种自动化的动态漏洞挖掘技术，不存在误报，也不需要人工进行大量的逆向分析工作与白盒测试相比，具有更好的适用性。