前言
本文整理的学习路线,清晰明了,重点分明,能快速上手实践,相信想学的同学们都能轻松学完。都是干货啦,先收藏⭐再看吧。本文偏基础能让萌新们快速摸到***测试的门道,少走弯路,也能让正在学习的小伙伴们查漏补缺,也欢迎大佬们在评论区指正错误~
先上脑图
其实安全测试需要的知识面是非常广的,但跟着教程有重点地学习还是能很快理清思路上手测试的,后续可以自己深入研究,吃透这些领域的知识。
首先我们要了解什么是***测试。
我们知道业务功能、逻辑的测试有黑盒测试和白盒测试,前者把程序看作一个不能打开的黑盒子,在完全不考虑程序内部结构和内部特性的情况下,在程序接口进行测试,主要测试程序前台展示的功能。后者通过检查软件内部的逻辑结构,对软件中的逻辑路径进行覆盖测试,主要用于检测软件编码过程中的错误。
在软件安全测试方面,***测试类似于黑盒测试,通过模拟***的进攻非法,来测试软件是否存在安全漏洞。此外代码审计类似于白盒测试,用于检查源代码中的安全缺陷。因为保证软件的安全质量需要贯穿软件的整个研发周期,进入安全行业后,大家会发现还有很多其他机制的,但这都不在本篇讨论范围,大家只需知道,***测试只是最后的安全质量验收阶段。
软件根据运行使用场景分为很多种,PC桌面端软件、手机APP软件以及浏览器使用的Web软件等。本文讨论的就是Web软件的***测试。
本文分为基础知识、工具使用、基本漏洞和实践四部分,可以依照这个顺序学习,也可以灵活食用。推荐掌握基础知识后,上手一下测试工具,然后学一个漏洞,立马实践一下。
最后说一下本文的熟练度:掌握>深入了解>了解。赶紧往下学起来吧!
一、基础知识
要进行Web***测试所需的知识,有重点划分,有些了解一点就行。后续可以深入,当然深入起来每个都可以是一个本科课程。
1.1 信息安全(了解)
学习信息安全是为了培养安全意识,做***测试心中当然要有个标准,知道什么是安全的什么是不安全的,一些漏洞的评判标准并不是固定的,出现复杂情况就需要我们自己判断。
这个课程比较小众,可以去慕课网看看,一般看《信息安全概论》即可
https://www.icourse163.org/search.htm?search=%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8#/
这个课程可以在学习计划中排到较低的优先级,都是入门的,可以算视野拓展了,实际作用不大。可以了解信息安全的几个要素、***进攻流程、访问控制模型、信息安全的其他模型和行业标准。
1.2 密码学(深入了解)
这个其实也是信息安全中的内容,但是内容较多有时可能会单独拿出来。
最低0.47元/天 解锁文章
508
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
