软件测试工程师如何做安全测试？

在去年，已经使用接近20年、90%java项目都广泛采用的Log4j组件爆出了严重漏洞！

在漏洞公布后15个工作日之后，国内绝大部分互联网公司、国企还在裸奔，这不禁让人唏嘘，期间如果被攻击，损失将不可估量。

网络的世界里，安全问题真的无处不在，安全意识仍需提高，通过不断的安全测试，尽可能地规避安全问题，提升软件质量。

虽然软件企业也意识到软件安全问题所带来的风险，但苦于缺少专业的安全测试人员，因此冒着极大的风险上线产品，至少赌一把运气再说。

而作为软件质量守门员的我们，是不是应该认真储备安全测试知识，把好软件质量、安全这一关。

作为一个多年的全栈测试工程师，很负责任地告诉你。

安全测试离我们并不遥远，而且它仅仅是软件测试的一个分支。

它所用的很多技术，其实你平时也都在用，并没有你想的那么神秘，比如：

我们做功能测试、接口测试的时候，会修改过url的参数，安全测试也需要！

我们在数据输入处，设计无效等价类数据，安全测试也需要！

我们会尝试修改只读数据，安全测试也会这么做！

我们会验证session会话是否如期，安全测试也需要这么做！

不仅如此，安全测试也要做测试计划、测试用例设计、bug分析与管理等等。

所以，安全测试真的距离我们并没有那么遥远。

只要你想进步，只要你不希望滞留功能测试，原地踏步。

紧跟allen老师来学习吧。Allen老师会从最基本的安全知识，网络基础知识、密码、授权、加密，及各种安全测试工具的使用，从多维度、多层次来介绍软件安全测试。

在此，我们还是先安全测试和测试工程师的区别吧，祛除大家的疑虑。

1、看问题的角度区别

比如一般测试工程师看到这个提示密码错误的bug，会定义为一般功能性bug，但是从安全测试工程师的角度来看，这个信息就大大增大了被密码爆破的可能性

还有我之前评审过的一个众测bug，一个app安装、登录、卸载之后，重新安装后，直接就能登录，大部分都是提的功能性问题，也有个别人提的安全性问题，其实这就是典型的session会话时效性问题，是安全性测试的范畴。

2、思维方式的区别

全栈软件测试是模拟用户，体验系统功能，最多也就是带着破坏性的手段去验证系统功能，而安全测试更多的是模拟恶意用户存在，想方设法去攻破系统防御，获取非法数据。

这也就要求我们要学会换位思考

3、工具使用的区别

全栈软件测试更多的是手工测试，最多工具攻击进行接口测试、自动化测试。

而安全测试则要更迫切需要工具的支持，需要各种工具的相互配合，以达到特定的目的。

最后感谢每一个认真阅读我文章的人，看着粉丝一路的上涨和关注，礼尚往来总是要有的，虽然不是什么很值钱的东西，如果你用得到的话可以直接拿走！ 希望能帮助到你！【100%无套路免费领取】