ot的评估怎么写CISSP 域6知识点 安全测试方法
考试高频、场景题密集、最容易混的一个模块 👇
Domain 6 占总考试权重 12%,而安全测试方法在 Domain 6 内的出题占比超过 60%。
考试形式以 概念区分题 + 场景选型题 + 执行流程题 为主,稍微混淆一下 SAST/DAST、渗透测试/红队演练,场景题就会选错。
底层考试红线,先记住这 6 条——
🔴 授权红线:所有主动攻击性测试(渗透测试、红队演练、社会工程学测试)必须先获得书面正式授权,明确测试范围、时间窗口、边界限制、应急预案。无授权的测试 = 非法入侵,所有场景题中无授权测试的选项均为错误答案
🔴 业务影响红线:测试必须遵循最小化业务影响原则,优先在测试/预生产环境执行;生产环境测试必须选择非业务高峰期,制定详细回滚计划与应急预案
🔴 全程可审计红线:测试全流程必须留存完整操作日志、报文、截图、执行记录,所有操作可追溯、可复现,测试报告客观真实、无夸大或隐瞒
🔴 合规对齐红线:测试方法、频率、范围必须符合 PCI-DSS、HIPAA、SOX、等保等合规要求,满足监管强制测试要求
🔴 闭环整改红线:测试的核心目标是修复漏洞——所有发现的安全缺陷必须制定整改计划、明确责任人与时限,整改完成后复测验证,形成完整闭环
🔴 职责分离红线:测试执行团队必须与被测试系统的开发/运维团队职责分离,禁止既当运动员又当裁判员
先把这些词搞清楚,后面内容看起来才不费力。
① 黑盒测试:零知识测试,测试者无任何内部信息,完全模拟外部无权限攻击者
② 白盒测试:全知识测试,测试者获得完整源代码、架构文档、配置信息、测试账号
③ 灰盒测试:半知识测试,测试者获得部分基础信息(如普通用户账号、基础架构信息),是当前企业最主流的渗透测试模式
④ SAST(静态应用安全测试):不运行应用,扫描源代码/字节码,发现代码级安全缺陷,也叫静态代码审计/白盒测试
⑤ DAST(动态应用安全测试):应用运行时,从外部发送恶意请求模拟攻击者行为,也叫黑盒 Web 测试
⑥ IAST(交互式应用安全测试):运行时插桩,结合 SAST 精准定位 + DAST 动态验证,误报率极低
⑦ SCA(软件组成分析):扫描第三方开源组件/依赖库,发现已知漏洞 + 许可证合规风险,是供应链安全测试的核心手段
⑧ 模糊测试(Fuzzing):持续发送大量畸形异常输入,触发系统崩溃/异常,发现未知零日漏洞的核心手段
⑨ 渗透测试:模拟恶意攻击者主动利用漏洞,验证可利用性与实际业务影响,深度优先
⑩ 漏洞评估/漏洞扫描:自动化工具全面扫描已知漏洞,广度优先,不主动利用漏洞
⑪ 红队评估:无固定边界的全场景 APT 攻击模拟,核心是测试企业的防御/检测/响应能力,而非仅找漏洞
⑫ 社会工程学测试:模拟利用人性弱点的攻击手段,测试员工安全意识、流程管控与物理安全有效性
⑬ 合规测试:对标具体合规法规/行业标准,验证安全控制是否满足强制合规要求
⑭ RASP(运行时应用自我保护):嵌入应用运行时的安全技术,实时监控并阻断攻击行为
⑮ 攻击面管理(ASM):持续发现、梳理、测试企业对外暴露的攻击面,是持续安全测试的核心手段
这 4 对概念是考试错题的高发区,每一对都必须精准掌握。
安全测试 vs 安全评估
安全测试 = 技术性的漏洞发现与攻击验证,是安全评估的核心执行手段
安全评估 = 包含技术测试 + 管理审计 + 合规验证 + 风险量化的全面性验证
⚠️ 测试不能替代完整评估,评估包含测试但远不止测试
漏洞扫描 vs 渗透测试
漏洞扫描
- 广度优先,以自动化工具为主
- 全面发现已知漏洞,不主动利用漏洞
- 对业务影响极小,可高频执行(每月/每周)
- 输出:漏洞清单 + CVSS 评分
渗透测试
- 深度优先,以人工操作为主
- 主动利用漏洞,验证实际可利用性与业务影响
- 中高风险操作,需严格控制范围,半年/年度执行
- 输出:完整攻击路径 + 业务影响 + 可复现利用步骤
⚠️ 漏扫是广度发现,渗透是深度验证,二者不能互相替代
渗透测试 vs 红队评估
渗透测试
- 有明确固定的测试范围、目标、时间限制
- 核心目标:发现目标系统的技术漏洞,验证可利用性
- 攻击链通常聚焦特定系统
- 技术团队通常知晓测试时间
红队评估
- 无明确固定边界,模拟真实 APT 攻击全链路
- 核心目标:测试企业整体的防御/检测/响应能力,而非仅找漏洞
- 覆盖完整攻击链:初始访问 → 持久化 → 横向移动 → 目标达成 → 痕迹清理
- 蓝队团队通常不知情,模拟真实场景
⚠️ 这是考试最高频的混淆点:红队评估测的是企业安全运营能力,渗透测试测的是系统技术漏洞
静态测试 vs 动态测试
静态测试:系统/应用不运行,核心是代码/配置审计,代表方法:SAST
动态测试:系统/应用运行时执行,核心是运行时漏洞验证,代表方法:DAST
⚠️ 二者为互补关系,不可替代
这是所有安全测试的基础分类,考试必考。
🔲 黑盒测试(零知识测试)
信息掌握:仅知晓测试目标范围,无源代码、架构、账号等内部信息
✅ 核心优势
- 最贴近真实外部攻击场景,测试结果真实性高
- 不依赖源代码,可测试闭源应用
- 可发现外部暴露面的直接可利用漏洞
❌ 核心局限
- 测试周期长、成本高
- 无法覆盖深层内部逻辑漏洞和未暴露的代码路径
📌 适用场景:互联网暴露面测试、第三方闭源系统测试、模拟外部黑客攻击的渗透测试
⚠️ 核心易错点:黑盒测试无法发现未暴露的内部逻辑漏洞,不能替代白盒测试
⬜ 白盒测试(全知识测试)
信息掌握:完整源代码 + 架构设计文档 + 配置信息 + 管理员/普通测试账号 + 数据库结构
✅ 核心优势
- 测试全面深入,可精准定位代码级漏洞到具体代码行
- 测试效率高、周期短,可覆盖全代码路径
- 误报率极低,可直接给出修复方案
❌ 核心局限
- 与真实外部攻击场景差异较大,易忽略外部暴露面的实际攻击路径
- 依赖源代码,无法测试闭源系统
📌 适用场景:开发阶段代码安全审计、核心业务系统深度测试、自研应用全量代码审计
⚠️ 核心考点:白盒测试可精准定位代码漏洞,修复成本最低,是安全左移的核心手段
🔳 灰盒测试(半知识测试)—— 企业最主流模式
信息掌握:基础架构信息 + 普通用户测试账号 + 业务逻辑文档,无完整源代码/管理员权限
✅ 核心优势
- 兼顾测试的真实性与深度,平衡效率与效果
- 模拟有基础内部权限的攻击者(如普通员工、合作方),覆盖更贴合企业真实风险的场景
- 兼顾外部攻击面与内部业务逻辑漏洞
📌 适用场景:常规渗透测试(最主流)、上线前应用安全验收、合作方/第三方接入系统测试
⚠️ 核心考点:灰盒测试是当前企业最主流的安全测试模式,兼顾真实性与深度
DevSecOps 安全左移的核心。SAST/DAST/IAST/SCA 是互补关系,不能互相替代,这句话会反复出现在考题里。
四种方法核心对比
SAST(静态应用安全测试)
- 别名:静态代码审计 / 白盒测试
- 执行时机:开发阶段,代码编写完成后,应用无需运行
- 测试前提:拥有源代码/字节码/二进制文件
- 核心能力:发现代码注入、硬编码凭据、不安全加密、缓冲区溢出、逻辑缺陷等代码级漏洞
- 核心定位:安全左移的核心手段,越早发现修复成本越低
- ⚠️ 核心易错点:SAST 无法发现运行时漏洞,必须配合 DAST 使用
DAST(动态应用安全测试)
- 别名:黑盒 Web 测试
- 执行时机:测试/预生产阶段,应用运行时,上线前
- 测试前提:无需源代码,仅需应用可访问的 URL/接口
- 核心能力:发现 SQL 注入、XSS、CSRF、越权访问、命令注入等运行时漏洞
- 核心定位:应用上线前的核心黑盒验收测试
- ⚠️ 核心考点:DAST 不依赖源代码,可测试闭源应用,但仅能发现可触发的运行时漏洞,无法定位代码缺陷
IAST(交互式应用安全测试)
- 执行时机:测试/预生产阶段,应用运行时,配合功能测试执行
- 测试前提:需在应用中安装代理/插桩组件
- 核心能力:结合 SAST 与 DAST 的优势,精准定位漏洞代码行,误报率极低,覆盖功能测试触发的全代码路径
- 核心定位:高价值核心应用的首选测试方法,OSG 第十版重点强化
- ⚠️ 核心考点:IAST 兼具白盒的精准性与黑盒的动态性,误报率远低于 SAST/DAST
SCA(软件组成分析)
- 执行时机:开发阶段、构建阶段、运行阶段,全周期持续扫描
- 测试前提:应用的依赖清单、包管理文件
- 核心能力:扫描开源组件/第三方依赖的已知漏洞 + 许可证合规风险 + 恶意组件 + 版本过时
- 核心定位:开源供应链安全管控的核心手段,应对 Log4j 等开源组件漏洞的核心工具
- ⚠️ 核心考点:SCA 同时覆盖漏洞与许可证合规风险,是供应链安全测试的核心方法
模糊测试(Fuzzing)
- 核心能力:持续发送大量畸形/异常/非预期输入,触发系统崩溃、异常、内存损坏
- 核心定位:发现未知零日漏洞的核心手段,高安全要求系统/协议/驱动/IoT 设备首选
- ⚠️ 核心考点:模糊测试是发现未知漏洞(非已知 CVE)的核心测试方式
DevSecOps 流水线测试节点(官方推荐)
安全左移的核心逻辑:越早发现漏洞,修复成本越低
1️⃣ 开发编码阶段 → IDE 集成 SAST + SCA 扫描,提交代码前完成本地扫描,漏洞未修复禁止提交
2️⃣ 代码合并阶段 → CI 流水线自动执行全量 SAST + SCA + 密钥硬编码检测,高危漏洞未修复禁止合并到主干
3️⃣ 构建打包阶段 → 自动执行容器镜像扫描 + SCA 全量依赖扫描 + 构建物完整性校验,漏洞未修复禁止生成正式构建物
4️⃣ 功能测试阶段 → 自动执行 IAST 交互式测试 + API 模糊测试 + 接口安全扫描,配合功能测试用例覆盖全业务路径
5️⃣ 预生产阶段 → 执行全量 DAST + 自动化渗透测试 + 配置合规扫描,高危漏洞未修复禁止上线
6️⃣ 生产阶段 → 持续攻击面管理 + 外部漏洞扫描 + RASP 运行时检测 + 周期性渗透测试,持续发现生产环境风险
漏洞评估(漏洞扫描)
最基础、最高频的安全测试手段,广度优先,不主动利用漏洞。
常见扫描类型
- 网络漏洞扫描:服务器/网络设备/终端,系统漏洞/开放端口/弱密码/不安全配置
- Web 应用扫描:Web 应用/API 接口,SQL 注入/XSS/CSRF/越权漏洞/不安全配置
- 数据库扫描:数据库弱密码/权限缺陷/补丁缺失/审计配置缺陷
- 合规基线扫描:系统配置是否符合 CIS 基线、等保要求等合规标准
- 容器/云原生扫描:镜像漏洞/K8s 集群不安全配置/云资源合规缺陷
⚠️ 三条核心考点
- 扫描结果必须经过人工验证剔除误报,不能直接以自动化报告作为最终结论
- 漏洞扫描对业务影响极小,可高频执行(至少每月一次)
- 漏洞扫描是广度优先的全面发现,无法替代渗透测试的深度验证
渗透测试
深度优先的攻击性测试,主动利用漏洞验证可利用性与实际业务影响。
三类测试模式
- 黑盒渗透测试:零知识外部攻击模拟,最贴近真实外部攻击
- 白盒渗透测试:全知识深度代码审计 + 漏洞利用,最全面
- 灰盒渗透测试:半知识内部权限攻击模拟,企业最主流模式
官方强制执行要求
✅ 必须先获得书面正式授权,明确测试范围、时间窗口、限制条件
✅ 必须制定详细回滚计划与应急预案,最小化对业务的影响
✅ 测试全程留痕,所有操作可追溯、可复现
✅ 禁止执行对业务系统造成不可逆破坏、数据泄露的操作
⚠️ 核心考点:渗透测试的核心目标是验证漏洞的可利用性与业务影响,而非破坏系统
红队 / 蓝队 / 紫队攻防演练(OSG 第十版重点强化)
核心目标:全面测试企业的防御体系、检测能力、应急响应能力,而非仅发现技术漏洞
三个核心角色
🔴 红队(攻击方)
- 模拟真实 APT 攻击者,突破企业防御体系,达成预设攻击目标
- 仅少数企业高层知晓演练计划,蓝队通常不知情
- 无明确固定边界,可使用任何合法攻击手段
- 覆盖完整攻击链:初始访问 → 持久化 → 横向移动 → 目标达成 → 痕迹清理
- ⚠️ 核心考点:红队评估的核心是测试企业的检测与响应能力,而非仅发现漏洞,这是与渗透测试的核心区别
🔵 蓝队(防御方)
- 企业内部安全运营团队,监测攻击行为、分析告警、应急处置、溯源反制
- 通常在演练前不知情,模拟真实攻击场景下的响应流程
- ⚠️ 考点:蓝队的核心能力是检测、响应、溯源,是企业安全运营能力的核心体现
🟣 紫队(协同方)—— 官方推荐主流模式
- 红队与蓝队的协同协作模式,攻防双方实时共享信息、同步复盘
- 边攻击、边防御、边优化,实现攻防能力闭环
- 演练结束后共同制定整改优化方案
- ⚠️ 考点:紫队是 OSG 第十版重点强化的官方推荐演练模式
演练红线
- 红队演练必须获得企业最高层书面正式授权,严格遵守法律法规与演练规则
- 禁止对真实业务造成不可逆影响
- 红队 vs 渗透测试的核心区别:渗透测试有明确范围,核心是发现技术漏洞;红队无固定边界,核心是测试企业整体防御与响应能力
社会工程学测试
官方明确:超过 80% 的网络安全事件涉及社会工程学,是企业安全最薄弱的环节之一
五种测试类型
- 钓鱼测试:最主流,模拟钓鱼邮件/短信/钓鱼网站,测试员工是否点击恶意链接/输入账号密码/下载恶意附件
- 语音钓鱼(Vishing):通过电话伪装成 IT 人员/客服/管理层,诱导员工泄露敏感信息或执行恶意操作
- 伪装攻击(Impersonation):伪装成维修人员/快递员/新员工,测试是否能突破物理门禁
- 尾门攻击(Tailgating):跟随合法员工进入门禁区域,测试物理访问控制有效性
- 诱饵攻击(Baiting):在企业周边放置带有恶意代码的 U 盘,测试员工是否会插入公司电脑
官方强制要求
- 必须获得书面正式授权,明确范围、规则、时间窗口
- 严格控制风险,禁止收集员工真实敏感信息、植入真实恶意代码
- 测试完成后必须开展针对性安全意识培训,而非用于处罚员工
- 严格遵守相关法律法规,禁止侵犯员工隐私
⚠️ 核心考点:社会工程学测试的目标是提升安全意识/发现流程缺陷,不是处罚员工
无线安全测试
核心测试内容:
- 无线加密/认证机制:WEP/WPA/WPA2/WPA3 安全缺陷、弱密码、默认配置
- Rogue AP/邪恶双胞胎(Evil Twin)检测与利用测试
- 无线客户端攻击、Krack 攻击等已知漏洞
⚠️ 考点:WPA3 是官方推荐的安全标准,WEP/WPA 必须禁用,是测试的核心重点
云原生安全测试
核心测试内容:
- 云 IAM 权限:过度授权/权限蠕变/服务账号安全/临时凭证管控
- 云配置:存储桶公开访问/安全组规则缺陷/VPC 隔离配置
- 容器安全:镜像漏洞/容器逃逸/K8s 集群配置缺陷
- API 安全:未授权访问/越权漏洞/注入攻击
⚠️ 考点:云测试必须遵守云厂商规则,提前获得授权;客户负责自身云资源的安全测试,遵循责任共担模型
OT/工控安全测试
第一原则:可用性优先——所有测试必须以不影响生产系统连续运行为最高原则
官方标准测试策略:
- 优先在离线仿真环境执行测试,禁止直接在生产系统执行高风险扫描与漏洞利用
- 采用被动流量分析 + 离线固件审计替代主动扫描,最小化对生产的影响
- 测试必须在生产停机窗口期执行,全程有工控运维人员在场,制定应急预案
- 重点测试:IT/OT 边界隔离、工控协议漏洞、默认凭据、权限配置缺陷
⚠️ 考点:OT 测试的第一原则是保障生产可用性,禁止套用 IT 环境的高风险测试方法
IoT/物联网安全测试
核心测试内容:
- 固件安全:硬编码凭据/后门/固件加密/签名校验缺陷
- 网络通信:明文传输/弱加密/协议漏洞
- 访问控制:默认凭据/弱密码/权限过度开放
- 物理接口:调试接口/UART 接口未禁用导致的攻击风险
⚠️ 考点:IoT 设备核心安全缺陷是默认凭据 + 硬编码密码 + 明文通信,是测试的重点
物理安全测试
核心测试内容:
- 门禁控制有效性:尾门攻击/伪装攻击/门禁绕过
- 监控系统覆盖与有效性
- 机房物理访问控制
- 办公区域安全管控
- 应急响应流程
⚠️ 考点:物理安全测试必须获得正式授权,禁止破坏物理设施、影响正常办公
这是流程题的核心考点,每一步的前提/输出要搞清楚。
第一步:前期准备与授权
- 获得企业高层书面正式授权,明确测试目标/范围/时间窗口/边界限制/允许的攻击手段/应急预案
- 签订保密协议,制定详细测试计划、攻击路径预案、回滚方案
第二步:侦察与信息收集
- 被动侦察:OSINT 开源情报,包括域名/IP/员工信息/技术栈/泄露凭据/历史漏洞
- 主动侦察:端口扫描/服务识别/指纹识别/目录扫描/漏洞探测
- 梳理完整攻击面、潜在入口点、漏洞线索
第三步:漏洞分析与武器化
- 验证发现的漏洞,分析可利用性/影响范围/利用条件
- 准备漏洞利用工具、攻击载荷、免杀方案,制定权限提升路径
第四步:漏洞利用与初始访问
- 执行漏洞利用,获取目标系统初始访问权限,建立立足点
- 绕过防护体系,实现持久化访问,提升权限
第五步:横向移动与目标达成
- 从初始失陷主机向内网核心资产横向移动,扩大攻击范围
- 收集内网信息/凭证/敏感数据,达成预设攻击目标
- 记录完整攻击路径、漏洞利用链、业务影响范围
第六步:痕迹清理与收尾
- 清理攻击留下的日志/后门/恶意文件/配置变更,恢复系统到测试前状态
- 整理全流程操作记录/截图/漏洞利用证据/报文数据
- 确认测试未对业务系统造成不可逆影响
第七步:报告编写与闭环整改
- 编写正式测试报告:执行概述 + 攻击路径 + 漏洞详情 + CVSS 评级 + 业务影响 + 复现步骤 + 修复建议
- 向管理层/技术团队汇报,推动漏洞整改
- 整改完成后执行复测,验证漏洞闭环,归档全流程文档
开发阶段代码安全审计 → SAST + SCA
- 安全左移,在开发早期发现代码漏洞与开源组件风险,修复成本最低
应用上线前安全验收 → DAST + 灰盒渗透测试
- 模拟真实攻击,验证应用运行时漏洞,确保无高危可利用漏洞上线
核心业务系统深度安全测试 → 白盒渗透测试 + IAST
- 全面覆盖代码逻辑漏洞与运行时漏洞,精准定位缺陷
企业互联网暴露面安全测试 → 黑盒渗透测试 + 攻击面管理
- 完全模拟外部黑客攻击,发现外部可直接利用的漏洞
企业整体安全能力实战化验证 → 红队/紫队攻防演练
- 全面测试企业的防御/检测/响应能力,而非仅发现技术漏洞
开源供应链安全管控 → SCA + 二进制审计
- 发现开源组件已知漏洞与许可证合规风险,防范供应链攻击
工控/OT 系统安全测试 → 被动流量分析 + 离线固件审计 + 仿真环境测试
- 优先保障生产可用性,最小化对业务的影响
员工安全意识验证 → 钓鱼测试 + 社会工程学测试
- 发现安全意识薄弱环节,针对性开展培训
合规审计验收 → 合规测试 + 白盒审计 + 漏洞扫描
- 对标合规标准,验证安全控制的有效性,满足监管要求
误区 1:SAST 和 DAST 可以互相替代,用一个就行
✅ 纠正:SAST 与 DAST 是互补关系,不能互相替代。SAST 在开发阶段发现代码级漏洞,无法发现运行时漏洞;DAST 发现应用运行时的漏洞,无法精准定位代码缺陷。必须结合使用,实现全维度的应用安全测试。
误区 2:渗透测试和红队演练是一回事,没有区别
✅ 纠正:二者核心目标与边界完全不同。渗透测试有明确范围,核心是发现目标系统的技术漏洞;红队演练无固定边界,核心是模拟真实 APT 攻击,全面测试企业的防御/检测/响应能力,是对企业整体安全能力的实战化验证。二者不能互相替代。
误区 3:漏洞扫描可以替代渗透测试,扫完漏洞就够了
✅ 纠正:漏洞扫描只能发现已知 CVE 漏洞,无法验证漏洞的实际可利用性与业务影响,也无法发现业务逻辑漏洞、零日漏洞;渗透测试是深度优先的人工攻击模拟,能发现扫描工具无法覆盖的逻辑缺陷与攻击路径。二者不能互相替代。
误区 4:只要技术能力够,不用授权也可以做渗透测试
✅ 纠正:无书面正式授权的渗透测试属于非法入侵行为,违反网络安全相关法律法规,会承担民事、行政甚至刑事责任。所有攻击性安全测试必须先获得正式书面授权,这是不可突破的法律红线。
误区 5:黑盒测试比白盒测试更全面,因为更贴近真实攻击
✅ 纠正:黑盒测试更贴近真实外部攻击场景,但无法覆盖深层内部逻辑漏洞和未暴露的代码路径;白盒测试能发现黑盒测试无法找到的内部缺陷。二者是互补关系,没有绝对优劣,只有适用场景不同。
误区 6:测试完成输出报告,整个测试活动就结束了
✅ 纠正:安全测试的核心目标是修复漏洞、缓解风险,输出报告只是中间环节。必须制定整改计划、推动落地、复测验证,形成完整的「发现 → 整改 → 复测 → 闭环」管理,否则测试活动完全无效,无法真正降低安全风险。
误区 7:生产环境测试可以随便执行,不用考虑业务影响
✅ 纠正:生产环境测试必须严格遵循最小化业务影响原则,优先在测试/预生产环境执行;生产环境测试必须选择非业务高峰期,制定详细回滚计划与应急预案,高风险漏洞利用操作禁止在生产环境执行,避免业务中断。
📍 Domain 1(安全与风险管理):安全测试是风险评估的核心输入,测试发现的漏洞是风险识别的来源,最终责任由企业最高管理层承担
📍 Domain 2(资产安全):资产分级分类决定了测试的优先级与范围,核心高价值资产是测试的重点关注对象
📍 Domain 3(安全架构与工程):安全架构评估、安全模型验证是安全测试的核心内容,安全控制的有效性必须通过测试确认
📍 Domain 4(通信与网络安全):网络漏洞扫描/防火墙规则测试/无线安全测试/VPN 安全测试,网络安全控制必须通过测试验证
📍 Domain 5(身份与访问管理):访问控制有效性测试/越权漏洞测试/权限配置审计是安全测试的核心内容
📍 Domain 7(安全运营):测试发现的漏洞是漏洞管理的核心处置对象,红队演练是验证安全运营能力的核心手段
📍 Domain 8(软件开发安全):SAST/DAST/IAST/SCA 是安全左移/DevSecOps 的核心执行手段,将安全测试嵌入软件开发全生命周期
测试透明度三级:黑盒(零知识/外部攻击)→ 灰盒(半知识/最主流)→ 白盒(全知识/最深入)
应用安全测试四件套:SAST(代码/开发阶段)→ DAST(运行时/上线前)→ IAST(插桩/精准)→ SCA(供应链/全周期)
攻击性测试三层次:漏洞扫描(广度/不利用)→ 渗透测试(深度/找漏洞)→ 红队演练(实战/测能力)
核心红线只有一条:无授权 = 非法,所有主动测试必须先授权
测试目标核心逻辑:发现漏洞 → 整改闭环 → 复测验证,只出报告不整改 = 无效测试