绝了!华为技术专家居然把安全测试讲解这么细致!

Posted 程序员二黑

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了绝了!华为技术专家居然把安全测试讲解这么细致!相关的知识,希望对你有一定的参考价值。

不得不说,时下互联网大风盛行,一些产品没有做好安全测试,在被投入市场使用后,都暴露出了自身的安全漏洞问题。这些问题中,有些是涉及普通人的个人隐私的;有些涉及到了企业的业务数据;有的甚至甚至会泄露企业的立身根本,让人不寒而栗。

而这些问题的产生,一方面报了了我们的一些技术产品缺乏安全意识,另一方面,也暴露出我国安全测试人员的匮乏问题。换句话说,若有大量的测试新人愿意尝试学习安全测试,未来,他将有极大可能告别“中年危机”,甚至,在35岁时,走向了人生的巅峰。

由此,今天,我们就一起来聊聊安全测试行业,和我对这个行业的一些浅见。

01、安全测试并不遥远

对于很多新手而言,他们在入行初期,可能主要从事的是功能测试,所以有些人会觉得安全测试非常遥远。但其实,安全测试还真没有你想的那么遥远。

譬如:我们需要修改url 的参数,他们也同样需要;我们测过用户会话是否如期 timeout,他们也一样。他们也需要做测试计划、需要设计测试用例、需要做bug分析与管理等等。

当然,安全测试确实比一般的测试要复杂一些。一个专业的安全测试专家,在某种程度上来说,也可以算是一个全栈工程师。但作为测试人,我们更具有先天优势,学起来也会更容易,而且代码运用也没有全栈工程师那么多,所以,感兴趣的同仁,千万不要被安全测试的“外貌”吓到。

02、安全测试和普通测试的相似性

简单来说,安全测试其实和普通测试有很多相似之处,独特点就在于它是为了保护软件系统的数据与功能的不受侵害。所以,在很大程度上,它与常规测试有这么些相似之处:

1)目标类似:预防、检测系统的缺陷;

2)在软件生命周期中的工作过程类似:需要了解业务需求;

例如:在敏捷开发团队里,常规测试人员日常处理的事务,安全测试人员同样要做。包括,了解业务的需求;针对业务与系统功能设计用例;沟通测试用例;在测试环境进行全面测试;分析测试结果并做总结,等等。

3)测试用例相似:面向用户的测试场景非常类似;

比如:在面向终端用户的测试场景上,常规测试用例与安全测试用例可以说是大同小异的。包括登录系统功能,密码,用户名,输入错误次数达到多少次,系统会做出怎样的提示等等。

4)都需要探索过程:对会对不同的业务场景有目的的进行探索;

事实上,无论什么测试,都是为了了解软件系统是否能按照我们的预期完成运转的过程。只不过安全测试人员,主要的关注点是安全漏洞。所以,无论是什么测试,我们都会得到很多探索的乐趣。

5)测试人员的警觉性:测试人员都需要对开发人员的代码保持友好的“怀疑态度”等等。

尤其是当开发人员以“我只做了一个很小的代码改动”为由,导致系统生态被破坏的问题。记住,无论是多小的改变,我们都应该时刻警惕。安全测试人员在这类问题上,需要花更多的心思。

03、安全测试的特殊性

如果听完我前面描述的内容,你对安全测试有了兴趣,那么,接下来我们就要说说安全测试的独特之处了。对此,我认为主要有3个点,你需要特别关注。

1)懂得随时转换视角

在我看来,不管你是测试老司机,还是全栈开发人员,想做安全测试,你都需要具备快速转换视角的意识。举个栗子:在这幅画里,你能看到几个人?

显而易见,每个人看到的数量是不同的。这就意味着,我们能发现的问题数量是不同的。对于安全测试人员来说,我们必须努力争做找出bug最多的人。

记得我最初还不是安全测试人员时,曾发生过这么一幕。在测试一个web页面登录时:

当我输入“错误用户名+正确密码”时,页面显示“该用户名不存在”;

当我输入“正确用户名+错误密码”时,页面显示“密码错误”。

对于这样的结论,按照普通测试人员的标准,就可以直接跳过了。但当时,我身边的安全测试人员,却立马发现了问题:“这个提示暴露了敏感信息!”

我当时非常茫然,对方便分析给我听:恶意使用者可以通过提示信息,推测出哪些用户名已经存在于系统中。然后,利用这些已知用户名,再进行密码暴力破解,缩小破解的范围,从而破解用户信息。

所以,这个信息虽然为合法用户提供了便利,但也存在风险,为恶意用户提供了便利。由此,我也理解了安全测试的重要性。

2)懂得转换身份

这里,我主要说的是普通用户和恶意用户身份的转变。对于安全测试人员来说,我们必须模拟恶意用户,来攻击现有系统的安全。因为,对于恶意用户来说,他们很多时候就是为了找系统漏洞,从而实现不劳而获。

想必“京东白条”事件大家都听说过吧。几个大学生能通过恶意使用他人的身份信息,找到系统漏洞,盗取巨额资金,想想就令人后怕。所以,安全测试人员一定要懂得转换身份。

3)会使用专用的测试工具

有了思维的转换后,我们就可以加入新的想法,进行测试了。但在做项目时,我们会发现并不是那么容易,就能模拟出恶意用户的行为。这时候,使用工具就变得非常有必要了。

比如,OWASP Zap、Burp等,大家都可以了解一下。这些比较实用,又比较容易上手,还可以执行很多恶意的操作场景。所以,,推荐新手们了解起来。

04、学习做安全测试

最后,就是我们学习做安全测试了。以我们是网上商城的买家,我们要在商品评价中上传图片这个功能为例,我们来说说主要需要做什么。

笔者以为,做相应的安全测试,主要需要做以下7件事:

识别系统中有价值的数据;

在需求分析阶段加入恶意用户需求;

针对恶意用户需求设计测试用例;

参与启动恶意需求的开发;

在开发环境验收恶意需求的实现;

在测试环境中进行安全测试;

向团队反馈所发现的安全漏洞。

而对于这7件事情来说,它其实并不是需要我们做7件全新的事情,而是在每个测试环节,增加一些安全测试的内容而已。所以,大家可以放轻松啦。

05、写在最后

好啦,说了这么多,大家如果开始对安全测试感兴趣,或者想学习具体内容的话,可以在留言区告诉我,笔者可以私信一些具体的操作细节、心得体会给大家。欢迎大家留言交流~

最后为方便大家学习测试,特意给大家准备了一份13G的超实用干货学习资源,涉及的内容非常全面。


包括,软件学习路线图,50多天的上课视频、16个突击实战项目,80余个软件测试用软件,37份测试文档,70个软件测试相关问题,40篇测试经验级文章,上千份测试真题分享,还有2021软件测试面试宝典,还有软件测试求职的各类精选简历,希望对大家有所帮助……

关注我公众号:【程序员二黑】即可获取这份资料了!

推荐阅读

高薪程序员也躲不过35岁这一关…当能力与年龄脱节,我们该如何自救

大学毕业开始销售…不甘于现状,转行测试的自救之路

从销冠到失业,最后选择软件测试,回头看看这段路,我很幸运!

以上是关于绝了!华为技术专家居然把安全测试讲解这么细致!的主要内容,如果未能解决你的问题,请参考以下文章

ToDesk企业版使用测试:破解企业远程办公难题,更安全更高效

ToDesk企业版使用测试:破解企业远程办公难题,更安全更高效

ToDesk企业版使用测试:破解企业远程办公难题,更安全更高效

信息安全与安全测试实战课程要在上课了在线平台开课了

离大厂近一点《阿里Web安全测试规范》专家著作

华为资深工程师总结的这本435页的书,居然把网络协议给趣谈了