提到安全测试,你需要对你的对手——heike有一定的了解,以往我们一般停留在web端的安全测试,服务器防火墙等等方面,这都是由于黑客的攻击历史、攻击方式等的引导。现在在这一部分出现了较大的变化,随着互联网的高速发展,项目的复杂性、各种微服务、接口的调用,乃至智能硬件的加入,软件模块和硬件服务的交互等都是需要安全测试的。
安全测试是一个难而艰的任务,涉及的技术实在太过宽泛,但是却是一门备受关注的技术,单个的网站而言每天都会面对一大堆的攻击脚本,这都受到行业的驱使,属于必须的操作流程。提供一个入门的流程,归根到底安全测试仍然是属于软件测试行业的,所以学习的路径大致差不太多。
1. 掌握更多的软件基本知识。例如http协议、http状态码、数据库操作、中间件、服务器、linux、python等基础知识。
2. 学习了解安全漏洞的原理。各种注入、跨站、绕过等等黑客技术的原理和实现。
3. 学习安全漏洞的测试方法。基于原理,了解学习最简单有效的安全漏洞测试方法,可以结合使用部分半自动化工具等,白盒做安全规则检查,像parasoft的xtest中的OWASP规则,SOAtest的接口安全测试等。
4. 了解安全漏洞的防范知识。安全人员要知其然,还要知其所以然,不仅要知道如何去测,还要知道如何去改。教开发改代码,这才是你应该到达的境界。
5. 学会监控。学会面对和甄别各种攻击脚本的思路,从而采取合理的方式去规避攻击。
总的来说,安全测试也逐渐成为了很多企业重视的必要流程,而在这一行需要的人才也是很多的,入门往往是简单的,但是能真的做好安全测试还需要不断的与时俱进,学习大量的新技术、新方法。
4765
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
