為什麼不推薦大家去做安全測試?
今天,很多軟體並沒有經過專門的安全測試便執行在網際網路上,它們攜帶著各類安全漏洞直接暴露在公眾面前,其中一些漏洞甚至直指軟體所承載的核心敏感資訊或業務邏輯。這些漏洞一旦被不懷好意者利用,很可能會給企業造成經濟損失,帶來負面聲譽影響的同時,還可能被起訴遭到罰款等等,細思極恐。其中的一部分原因是企業本身安全意識不強,但是很多時候雖然軟體企業已經開始意識到這些問題,卻苦於缺少專業的安全測試人員,他們不得不冒著極大的風險先上線賭一把運氣再說。
看到這裡你可能會說:正是由於這樣的情況,所以我們才要去做安全測試啊!
我在這裡先不評價這個想法對或不對。要想知道為什麼,請繼續往下看。
我先來介紹一下神秘的安全測試:安全測試在軟體測試裡面是乙個很特別的科目(「工種」),每次一碰到這個科目,很多人都覺得這個科目應該全權交給神秘的安全測試人員來管。這乙個觀念導致很多測試人員徘徊在安全測試的門口卻遲遲不進去。
安全測試是非常複雜的,相信大家都沒有異議。乙個專業的安全測試專家在某種程度上來說是乙個全棧工程師。所以,想要在安全測試上一夜成才很難。雖然,作為測試人員的我們卻有得天獨厚的優勢,使我們能夠在安全測試上快速起步,幫助團隊盡快展開預防並檢測安全漏洞的工作。
作為乙個安全測試人員,你需要具備什麼專業素養呢?
這種能力說難不難,說簡單卻絕不簡單。舉個栗子:假設你正在測試乙個web應用使用者登入介面,你輸入錯誤的使用者名稱時提示「該使用者名稱不存在」,你輸入正確的使用者名稱但是錯誤的密碼時提示「密碼輸入錯誤」。這時你沒有任何想法,一掠而過。但是作為乙個安全測試員他會說:敏感資訊暴露了,提示資訊需要修改!為什麼?!!因為通過我們的提示資訊,惡意使用者可以推測出哪些使用者名稱已經存在於系統中,然後利用這些使用者名稱再進行密碼的暴力破解!
軟體測試人員通常會模擬普通使用者的操作來測試軟體,而安全測試員則需要模擬hacker來測試軟體。這裡說一些題外話,零幾年軟體測試崗位就開始出現了,大家有沒有想過那批最早從事軟體測試的人都去哪兒,幹什麼去了呢?
「黑帽子」和「白帽子」
那時候軟體測試還沒有這麼專業,測試人員大多什麼都需要會一點兒,做這一行的都是真心喜歡測試的,鑽研技術的人也比較多。由於經常找bug,對軟體的漏洞測試人員也一清二楚,早期的軟體測試人員有的做了「黑帽子」,有的做了「白帽子」。而安全測試員就是由白客發展而來的。
在具體做安全測試的時候我們會發現並不是那麼容易去模擬惡意使用者的行為。畢竟系統的前端會給我們很多的屏障。而且惡意使用者可不總都是從系統前門進去的。這時候,使用一些工具,比如owasp zap、burp suite等是非常有幫助的。我們可以在系統介面上執行功能測試的用例,用這些工具來獲取http請求,篡改後傳送給後台伺服器。有了這些實用又比較容易上手的工具,就可以執行很多惡意使用者的操作場景了。
一般來說,具備以上三點你就可以開始進行初步安全測試了。
現在我們可以回到文章開始的地方。文章開頭的那個想法在讀完上面的內容之後你會發現,它是對又不對的,很矛盾。確實由於很多公司不注重安全或者由於成本原因捨棄了安全保障,往後會需要更多安全測試員去進行安全測試。但是乙個沒有安全測試思考力的安全測試員他真的能勝任這份工作嗎?
然而現實是:
說到這裡,我終於可以說一句:不推薦大家去做安全測試。這是建立在上文的分析之後的出的結論。很多人可能覺得安全測試工程師很高大上,薪資也非常可觀。但是你也要看清行業的現實狀況,不要一頭霧水就紮進安全測試的圈子,到頭來芝麻和西瓜都丟了,不值得。
最後也要宣告一下,我絕不是反對大家做安全測試。如果你對安全測試很感興趣,也有安全測試工程師需要有的獨特的思考視角,能夠沉下心來認真學習。那我非常推薦你去做安全測試,因為那才是適合你的工作!那才能證明你的價值!那才cool!
還有,對測試感興趣的小夥伴,可以**:672899761一起交流,有免費的自動化、效能測試資料提供學習,希望能幫助到需要的你~
那麼,你還會選擇去做安全測試工程師嗎?
所以說,你還會向安全測試工程師靠攏嗎?
為什麼不推薦去做安全測試工程師?
為什麼不推薦大家去做安全測試?今天,很多軟體並沒有經過專門的安全測試便執行在網際網路上,它們攜帶著各類安全漏洞直接暴露在公眾面前,其中一些漏洞甚至直指軟體所承載的核心敏感資訊或業務邏輯。這些漏洞一旦被不懷好意者利用,很可能會給企業造成經濟損失,帶來負面聲譽影響的同時,還可能被起訴遭到罰款等等,細思極...
為什麼不推薦去做安全測試工程師?
為什麼不推薦大家去做安全測試?今天,很多軟體並沒有經過專門的安全測試便執行在網際網路上,它們攜帶著各類安全漏洞直接暴露在公眾面前,其中一些漏洞甚至直指軟體所承載的核心敏感資訊或業務邏輯。這些漏洞一旦被不懷好意者利用,很可能會給企業造成經濟損失,帶來負面聲譽影響的同時,還可能被起訴遭到罰款等等,細思極...
為什麼不推薦去做安全測試工程師?
為什麼不推薦大家去做安全測試?今天,很多軟體並沒有經過專門的安全測試便執行在網際網路上,它們攜帶著各類安全漏洞直接暴露在公眾面前,其中一些漏洞甚至直指軟體所承載的核心敏感資訊或業務邏輯。這些漏洞一旦被不懷好意者利用,很可能會給企業造成經濟損失,帶來負面聲譽影響的同時,還可能被起訴遭到罰款等等,細思極...