一般来说,版本功能测试完成,对应的用例也实现了自动化,性能、兼容、稳定性测试也完成了以后,我们就需要考虑到系统的安全问题,特别是涉及到交易、支付、用户账户信息的模块,安全漏洞会带来极高的风险。
常见的安全测试内容
权限控制
SQL注入
URL安全测试
XSS(跨站脚本攻击)
CSRF(跨站请求伪造)
URL跳转漏洞
其他安全方面的考量
其实安全测试需要的知识面是非常广的,但跟着教程有重点地学习还是能很快理清思路上手测试的,后续可以自己深入研究,吃透这些领域的知识。
我们知道业务功能、逻辑的测试有黑盒测试和白盒测试,前者把程序看作一个不能打开的黑盒子,在完全不考虑程序内部结构和内部特性的情况下,在程序接口进行测试,主要测试程序前台展示的功能。后者通过检查软件内部的逻辑结构,对软件中的逻辑路径进行覆盖测试,主要用于检测软件编码过程中的错误。
在软件安全测试方面,测试类似于黑盒测试,通过模拟的进攻非法,来测试软件是否存在安全漏洞。此外代码审计类似于白盒测试,用于检查源代码中的安全缺陷。因为保证软件的安全质量需要贯穿软件的整个研发周期,进入安全行业后,大家会发现还有很多其他机制的,但这都不在本篇讨论范围,大家只需知道,测试只是最后的安全质量验收阶段。
软件根据运行使用场景分为很多种,PC桌面端软件、手机APP软件以及浏览器使用的Web软件等。
如果从0开始,那么自学个一两年都不一定能够了解安全测试,更别提找工作了,因为这个岗位是非常看重经验和能力的,而这些东西都是要通过大量的攻防实战积累的。
所以如果想找安全测试的工作,我们的建议是在有测试或者技术开发基础的同时,去寻找专业的培训机构学习,这样能够大大提高学习效率,基本在1-2个月就能学习完成,并找到相对应的工作。
329
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
