如何让测试人员干安全的基础测试工作?

我是一个不喜欢机械化的工作的人。比如渗透测试的一些基础工作挖XSS漏洞,一天两天还行,可要是每周若干项目上线而我们安全却要苦逼的频繁的给这些系统做安全渗透工作,有新奇的手法值得好好研究,不然我是非常不愿意的。没耐性。所有我更愿意做安全开发的工作,有一天领导说我们要把一些基础的安全测试工作交给测试同学去做,我们去做更有价值的事情,这个时候我觉得非常和我的思想相吻合。
我觉得这也是安全测试的一个主流方向,本事公司的安全投入就很少,要能对这些测试同学加以合作才能更好有更多的时间去做别的安全。
那么问题来了,如何让一个不懂安全的测试接受一个安全测试的内容呢。对方可以表面上接受,毕竟测试也有很多很多的工作要做,这就是我们安全需要考虑的问题了。准确的说是安全开发需要考虑的问题,我的第一个思路是使用开源的 https://github.com/219liangyi/SQLiScanner 让测试手动的将URL填入平台,然后平台傻瓜式的告诉对方是否存在漏洞。从而让测试不需要特别的懂安全也能干一些事情。不过缺点也很多,SQL注入可以检测,反射型的XSS也可以检测,存储型的XSS就是很大的痛点。
最近看到中通快递发表的一篇文章,https://mp.weixin.qq.com/s/n9N6Nkg_RYEvPM2WnlG45w
整体架构其实非常简单,一看就懂,这个思路是真的难得可贵。看到这里也想自己做一个出来。chrome 插件编写问题并不大,同时结合现在开源的另一款被动式安全扫描 https://github.com/219liangyi/GourdScanV2 也可以实现。
这个架构最大的优势还是让测试无感的就可以完成安全测试的基础工作,非常棒,也期待开源。先整理思路,回头开发。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值