51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 3753|回复: 9
打印 上一主题 下一主题

[职场故事] 安全测试

[复制链接]
  • TA的每日心情
    奋斗
    2018-3-22 08:54
  • 签到天数: 260 天

    连续签到: 4 天

    [LV.8]测试军长

    跳转到指定楼层
    1#
    发表于 2017-12-28 08:54:31 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    关于安全测试,我知道很少,只能简单的谈谈。安全测试是主流中的非主流,“主流”指的是它是测试技术的一个主流方向,“非主流”是指在我看来,对这个技术的研究和学习没有什么固定的章法,想要有所成就需要一些天资和悟性(按照武侠里面来讲都算是九阴九阳级别的、没悟性整不好)。
    曾几何时,我上份工作接触到一位安全测试工程师,他教我用AppScan工具扫描,晚上下班的时候开着扫描,第二天把扫描出的问题给开发人员分析。我以为安全测试不过如此嘛!
    但是他后来跟我讲真正安全工程师并非如此草率进行安全测试的,人家基本不用工具的好么!会用到用SQL注入去拿到一个网站的后台管理员密码,然后用Python做安全手段即代码审查;你要对项目所使用的编程语言和框架里面的某些方法/函数非常熟悉,知道某些方法/函数在怎样使用时会存在安全隐患,单这一点我也觉得很难,这个方法我会用,我怎么知道在什么情况下引发漏洞?除非我遇到过。不是经验就是对你项目使用的语言已经炉火纯青了。除此之外还需要对敏感权限进行分析,代码漏洞分析,引擎漏洞分析,协议安全、内存安全、脚本篡改、网络变速、宕机漏洞等多维度安全及漏洞挖掘。技术除外还要对业务逻辑做安全排查,游戏风险分析、函数动态测试等。
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏
    回复

    使用道具 举报

  • TA的每日心情
    慵懒
    2021-1-20 10:46
  • 签到天数: 25 天

    连续签到: 1 天

    [LV.4]测试营长

    2#
    发表于 2018-5-4 17:42:38 | 只看该作者
    除此之外还需要对敏感权限进行分析,代码漏洞分析,引擎漏洞分析,协议安全、内存安全、脚本篡改、网络变速、宕机漏洞等多维度安全及漏洞挖掘。技术除外还要对业务逻辑做安全排查,游戏风险分析、函数动态测试等。
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    5#
    发表于 2018-7-9 10:10:43 | 只看该作者
    AppScan只是扫描出问题,具体的分析没做过,不是很懂安全测试
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2020-2-2 12:43
  • 签到天数: 630 天

    连续签到: 1 天

    [LV.9]测试副司令

    6#
    发表于 2018-7-31 19:45:32 | 只看该作者
    我也只是用过工具扫描
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2020-2-2 12:43
  • 签到天数: 630 天

    连续签到: 1 天

    [LV.9]测试副司令

    7#
    发表于 2018-7-31 19:45:40 | 只看该作者
    看看工具分析出来的结果
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2020-2-2 12:43
  • 签到天数: 630 天

    连续签到: 1 天

    [LV.9]测试副司令

    8#
    发表于 2018-7-31 19:45:56 | 只看该作者
    在用工具模拟一下攻击
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2024-7-8 09:00
  • 签到天数: 943 天

    连续签到: 1 天

    [LV.10]测试总司令

    9#
    发表于 2018-8-23 13:45:14 | 只看该作者

    AppScan只是扫描出问题,具体的分析没做过,不是很懂安全测试
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2024-7-8 09:00
  • 签到天数: 943 天

    连续签到: 1 天

    [LV.10]测试总司令

    10#
    发表于 2018-8-23 13:45:20 | 只看该作者

    在用工具模拟一下攻击
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-25 09:49 , Processed in 0.066666 second(s), 22 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表