51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 2949|回复: 3
打印 上一主题 下一主题

[职场故事] 【原创】记测试生涯中一次安全测试经历

[复制链接]
  • TA的每日心情
    郁闷
    2018-11-5 13:54
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    跳转到指定楼层
    1#
    发表于 2018-9-21 16:10:19 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

    是不是憧憬过黑客,说真的,刚工作那几年有过,现在也只是佩服下人家做的具体事情,像ios越狱、破解某专业软件、高水平的0day等,羡慕已经谈不上了,因为有了一点工作经验,知道自己与黑客大牛之间的技术差距,看过一个黑客入门的技能树,已经心有余而力不足了,而且现实生活里所了解的黑客技术和电影中戏剧化手法呈现的黑客手段,往往是天差地别,想象中的黑客,像弹钢琴一样敲击着键盘,屏幕上满是飞速刷屏的命令行界面,进度条一满,机密数据下载完成,接管某高防御系统的管理权限,或是控制了几十辆汽车横冲直撞,我不知道在现实中是不是真有这样的情景,就算有那也是台上1分钟,台下10年功,使用应用层面自动化工具的,那叫骇客,当然也有水平高低之分,逆向分析软件漏洞的,编写高技术含量工具的,那是很苦闷的工作,可以了解下超高端的蠕虫病毒“震网”,这东西都不是1个大牛可以做到的,更不是短时间内可以完成,能做到那么精确的破坏,都不谈开发成本,测试成本都不是我们可以想象的。

    软件测试类别中有一种安全性测试,当然只是针对web、app的,有具体的规则,详细的检查项目,在测试环境中执行,既能体验一点当黑客的感觉,又不用负什么责任,当你能把发现的安全缺陷,进行场景化的推演,证明这些漏洞组合使用,可以拿到管理员权限,访问其他用户数据,或者下载数据库,造成对方财产损失等,可以看作是渗透性的安全测试,但是一般渗透测试都是针对生产环境,就是线上发布的,给实际用户使用的系统,有专业的安全公司在做这个。

    我在这里讲的,是在工作中的1次安全测试经历,因为接触的这个系统真是漏洞百出,测起来也是蛮爽的,如果web系统在架构后者说框架上面已经考虑了安全方面,按照正规的检查项,无法发现缺陷,不是证明没有,而是隐藏的很深,挖起来也是漫长、繁琐、苦闷的工作。

    当我刚进入这家公司的时候......更多精彩,点击查看→http://quan.51testing.com/pcQuan/pages/artDetails.html?artId=124

    本帖子中包含更多资源

    您需要 登录 才可以下载或查看,没有帐号?(注-册)加入51Testing

    x
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏1
    回复

    使用道具 举报

  • TA的每日心情

    2020-2-2 12:43
  • 签到天数: 630 天

    连续签到: 1 天

    [LV.9]测试副司令

    4#
    发表于 2018-9-27 14:32:30 | 只看该作者
    楼主的经历 在我们看来已经非常高端了
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-23 13:26 , Processed in 0.066391 second(s), 23 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表