安全测试
关于安全测试,我知道很少,只能简单的谈谈。安全测试是主流中的非主流,“主流”指的是它是测试技术的一个主流方向,“非主流”是指在我看来,对这个技术的研究和学习没有什么固定的章法,想要有所成就需要一些天资和悟性(按照武侠里面来讲都算是九阴九阳级别的、没悟性整不好)。曾几何时,我上份工作接触到一位安全测试工程师,他教我用AppScan工具扫描,晚上下班的时候开着扫描,第二天把扫描出的问题给开发人员分析。我以为安全测试不过如此嘛!
但是他后来跟我讲真正安全工程师并非如此草率进行安全测试的,人家基本不用工具的好么!会用到用SQL注入去拿到一个网站的后台管理员密码,然后用Python做安全手段即代码审查;你要对项目所使用的编程语言和框架里面的某些方法/函数非常熟悉,知道某些方法/函数在怎样使用时会存在安全隐患,单这一点我也觉得很难,这个方法我会用,我怎么知道在什么情况下引发漏洞?除非我遇到过。不是经验就是对你项目使用的语言已经炉火纯青了。除此之外还需要对敏感权限进行分析,代码漏洞分析,引擎漏洞分析,协议安全、内存安全、脚本篡改、网络变速、宕机漏洞等多维度安全及漏洞挖掘。技术除外还要对业务逻辑做安全排查,游戏风险分析、函数动态测试等。 除此之外还需要对敏感权限进行分析,代码漏洞分析,引擎漏洞分析,协议安全、内存安全、脚本篡改、网络变速、宕机漏洞等多维度安全及漏洞挖掘。技术除外还要对业务逻辑做安全排查,游戏风险分析、函数动态测试等。 :victory: 真复杂,, AppScan只是扫描出问题,具体的分析没做过,不是很懂安全测试 我也只是用过工具扫描 看看工具分析出来的结果 在用工具模拟一下攻击
AppScan只是扫描出问题,具体的分析没做过,不是很懂安全测试
在用工具模拟一下攻击
页:
[1]
