【你来问我来答第42期】：揭开web安全测试的神秘面纱(已结束)

jacksonren1987

回复 50# 栋婷的春天


如果抛开服务器端安全事项来说，app和web其实在安全点防范上并无很大区别，安全测试的核心可以简单用一句话来概括，就是“所有的用户请求都不可信”。注意事项和关键点可以参考下我在26# 和 30# 的相关回复。 说到我平时安全测试的手段，主要分为先验和监控。先验也就是通常大家能理解的安全测试，基于安全测试策略，对网站的xss、sql注入、绕过、会话管理、验证机制等等安全漏洞进行测试验证；这里边我通常建议使用的工具是burpsuite，结合其他一些半自动化工具，如sqlmap等等；监控也是安全测试很重要的一部分，包括监控已上线服务器和蜜罐，作用也就是为了新攻击方式的采集和项目安全的后续措施保障。

jacksonren1987

回复 51# liurenhui


额，这个问题在我使用qtp的时代里，QC已经发展的如日中天了，mtm这个脚本管理器基本是听说过没有用过。。所以，基本的用法我还有所了解，详细的配置。。就只好去参考一下相关说明文档了

jacksonren1987

回复 53# spring139


说到测试人员的心态问题，其实主要是有一种先入为主的观念：测试人员不如开发人员。这个观念从本质上就是不完全正确的。大多数时候，对于一个优秀的测试人员，所需要了解、掌握的可能要远远超越开发人员，所以，测试人员要做的是要懂一点开发，能写一点代码，最后达到“教开发人员写代码”的程度。

xiaoming00

顶一个，哈哈

jacksonren1987

回复 54# kuangli1020

安全测试很多人都是从自动化审计工具开始入门的，例如appscan；我对这个有不同的看法，我认为在做自动化审计对于测试人员自己来说毫无提高可言，其次自动化工具的错报漏报率很高，也需要有大量时间排查；最后，由于你对其原理、防范措施的不了解，你也无法指导开发去修改这些问题；

我认为入门的最好手段就是先了解安全漏洞的原理，从原理入手，从而掌握相应的测试方法，最后，从代码层面掌握其漏洞的防范。

jacksonren1987

回复 55# meqili


我现在恰好正在做关于webdriver的二次开发，其实我觉得webdriver（Selenium2.0）的基本学习并不难，提供的方法也就那么多，重点是不要只去想怎么学，而是动手去做，在实践中提高自己的能力；其实无论什么技术都是一样的。

jacksonren1987

回复 56# cjwgreat


安全意识这是个很宽泛的问题。从我自己的经历来说，我觉得要培养一个团队的安全意识，重点是让大家了解安全为何物，安全漏洞会造成什么样的影响，在团队现有的产品中你用安全手段戳几个窟窿的话会更有效果。当安全测试推广开来，很快，团队的安全意识便提高了。

jacksonren1987

回复 57# ffwithvv


如果要推荐sql注入检测工具的话，一定是要首推sqlmap的。

jacksonren1987

回复 59# weilian0818


首先要端正正确的职业观吧，不要觉得因为我觉得做开发很累、很难，做其他的我也干不了，所以我去做测试。其实要想在测试道路上有所发展，可能需要努力的比开发要更多。我的推荐是从功能测试入手学习，并经过一些项目的历练，再寻找一个高级测试的发展方向吧。

shujin6040

回复 60# jacksonren1987


    安全漏洞的原理可以推荐本书看吗？或者哪有可以找到资源去学习原理

shaoling_liang

大神，本人是菜鸟中的菜鸟任务，问一下
关于Magento这种开源网站怎么开展测试呢？

Ivytesting

skchao1111

不错不错赞赞赞