今天,许多软件没有经过特殊的安全测试就被放在互联网上,他们带着各种安全漏洞暴露在公众面前,其中一些漏洞直接指向软件承载的核心敏感信息和业务逻辑。如果这些漏洞被不善意的人利用,很可能会给企业带来经济损失。在影响负面声誉的同时,可能会被起诉、被罚款等,非常害怕。其中一些原因是企业自身的安全意识不强,但软件企业往往开始意识到这些问题,但由于缺乏专业的安全测试人员,他们必须冒很大的风险在网上赌运气。
既然如此,作为质量代言人的我们怎么能忽略呢?你可能会问吗?怎么办才好呢?安全测试水太深了。
安全测试不远。是的,安全测试在软件测试中是特殊的科目(或职业),很多人认为这个科目应该全面交给神秘的安全测试者。这个观念使很多测试者徘徊在安全测试的入口,包括我自己在内,迟到了。之后,我很幸运能够在不同规模的软件开发项目中学习如何与神秘的安全测试者进行安全测试,发现神秘的安全测试者不仅名字和我们一样有测试这个词,实质上也和我们的测试者有很多关系。
想想我们做了什么我们修改过url的参数,对吗?他们也是!我们在数据输入部提供过不合法的数据,对吧?他们也是!我们修改过只读数据,对吧?他们也是!我们也测量过用户的对话是否按计划timeout,对吧?他们也是!Ok,这还不是全部。他们还制定了测试计划、测试用例设计、错误分析和管理等。所以,安全测试离我们不远。当然,我必须承认安全测试非常复杂。专业的安全测试专家在一定程度上是全堆栈工程师。因此,在安全测试中一夜成功并不容易。但是,好消息是,作为测试人员我们有独特的优势,可以在安全测试中迅速开始,帮助团队尽快开展安全漏洞的预防和检测。