安全测试在软件测试里面是一个很特别的科目(或作“工种”),次一碰到这个科目,很多人都觉得这个科目应该全权交给神秘的安全测试人员来管。这一个观念导致很多测试人员徘徊在安全测试的门口却迟迟不进去。
如果你能够在不同规模的软件开发项目上跟“神秘的安全测试人员”学习如何进行安全测试,发现“神秘的安全测试人员”不光是名字跟普通测试一样都有“测试”二字,所做的事情在本质上也是跟测试人员有很多相通。
做安全测试,你得先:
转换视角:从安全角度去看问题,例如一些便利性的问题就变成了信息泄漏
角色转换:从合法用户视角转换为恶意用户
使用专门的安全测试工具:例如渗透测试工具,扫描工具等
然后一般项目的工作流程是:
1. 识别系统中有价值的数据
很多人认为执行测试才是测试,而我们的安全测试从