安全测试主要测哪些方面？漏洞扫描、渗透测试、代码审计包含在内吗？

安全测试

漏洞扫描、渗透测试、代码审计这三个全包含在内，而且可以说是安全测试里最核心的三板斧。不过安全测试这个圈子比大多数人想的要大一些，我给你拆开说说。

一、这三个是什么角色？

1.漏洞扫描，属于"广撒网"。用工具比如Nessus、OpenVAS、AWVS这些，对着系统扫一遍，已知的漏洞能抓出来一大批。优点是快、覆盖面广，缺点是误报多，而且只能发现已知问题，新型漏洞它不认识。

2.渗透测试，这个是"模拟真实攻击"。人来干，不是机器。从外网尝试打进来，提权、横向移动、拿数据，整个攻击链走一遍。这个含金量最高，因为它测的是"真有人来搞你，你扛不扛得住"。一般找第三方安全团队来做，毕竟让自己人模拟攻击者，总有点别扭。

3.代码审计，这个是"从根上查"。不跑系统，直接看源码。逻辑漏洞、硬编码密码、不安全的函数调用……这些东西扫描工具和渗透都不一定能发现，但代码里明摆着的。静态审计可以人工看，也可以用SonarQube、Fortify这类工具辅助。

这三个基本上是安全测试的主力配置，大部分项目做到这三个就算及格了。

二、安全测试可不止三个

说实话，上面三个更偏"技术层"，还有几块经常被忽略但其实很重要：

1.认证授权测试。 比如你登了A账号，能不能看到B账号的数据？普通用户能不能访问管理员接口？越权这个问题，说出来都觉得不该犯，但上线后一查一个准。

2.输入验证测试。 SQL注入、XSS、命令注入这些老几样，本质上都是"你没把用户输入当回事"。渗透测试里会测，但专门拎出来做一轮也不亏。

3.数据安全测试。 敏感数据有没有加密存储？传输走不走HTTPS？日志里有没有明文密码？脱敏做没做？这些东西出了事就是合规问题，不光是技术问题了。

4.业务逻辑安全。 这个最难搞。比如优惠券能不能重复领、退款流程能不能绕过、金额能不能被篡改。这不是工具能测出来的，得靠人去想、去模拟各种骚操作。

5.配置安全。 默认密码改没改？端口关没关？调试模式关没关？别笑，真有团队上线了还开着debug模式的。

三、实际项目里怎么组合？

具体需要看你系统规模和风险等级：

小项目，内部系统，用户量不大 → 漏洞扫描 + 代码审计，基本够用

中等项目，有外部用户，涉及支付或敏感数据 → 加上渗透测试，认真做

大项目，金融、医疗、政务这些 → 全套拉满，再加上业务逻辑安全测试和数据安全专项，而且渗透测试最好定期做，不是上线前搞一次就完了

有一句话挺实在的：漏洞扫描是体检，渗透测试是实战演习，代码审计是查基因， 三个角度不一样，缺哪个都有盲区。

标签：安全测试报告、漏洞扫描