我到这公司也就是2年时间，在这二年中，我建立了测试团队、测试平台、质量平台等，有功劳，也有苦劳，还有一些不足。今年公司大变，机构调整。昨天参加公司年会，让深感到这公司不是我长久呆得了的地方。现我特别想换公司。目前是金融危机。我能换到好公司吗？已投了二份简历。也不知道怎么样。

   其实从我内心来说，我真不想换公司。我辛苦经营的团队就这样散伙？我辛苦经营的平台就这样say byby ?我真不甘心。我记得我在上一家公司。。我走后，，团队的人也走了70%......有的去外企，有的去了国企等。。但大家都换到自己心仪的工作。目前基本很少联系（大家忙工作嘛，可以理解）。

继续我的安全测试之攻击的手段

刚在简介中说明主要二种方法，一种是SQL文本注入，一种是跨脚本注入。那么，可见，主要是写SQL语句，哪些地方可写SQL语句呢，一是查询处、二是回复处，新增功能处；其次是“钓鱼”方式，也就是跨脚本注入。还有其它方法。如：（Cookie）猜测法，日志调用法，工具扫描法等。下面简单介绍几种方法：

一、SQL文本注入法

二、跨脚本注入法

三、工具扫描法

四、日志调用法

五、猜测法

本篇主要是讲解安全测试

因我公司今年一年都在做安全测试，已把其例为必测试类型。下面就简单介绍：

一、安全测试分类，主要分为SQL文本注入和跨脚本注入二种方式。

二、什么叫渗透测试，渗透测试最简单直接的解释就是：完全站在攻击者角度对目标系统进行的安全性测试过程。

三、进行渗透测试的目的，了解当前系统的安全性、了解攻击者可能利用的途径。它能够让管理人员非常直观的了解当前系统所面临的问题。为什么说叫直观呢？就像Mitnick书里面提到的那样，安全管理（在这里我们改一下，改成安全评估工作）需要做到面面俱到才算成功，而一位黑客（渗透测试）只要能通过一点进入系统进行破坏，他就算是很成功的了。

四、渗透测试是否等同于风险评估，不是，你可以暂时理解成渗透测试属于风险评估的一部分。事实上，风险评估远比渗透测试复杂的多，它除渗透测试外还要加上资产识别，风险分析，除此之外，也还包括了人工审查以及后期的优化部分（可选）。

五、透测试涉及哪些内容，技术层面主要包括网络设备，主机，数据库，应用系统。另外可以考虑加入社会工程学（入侵的艺术/THE ART OF INTRUSION）。

六、工具，有商业的，有开源的，目前我正在用的是Acunetix Web Vulnerability Scanner和DSQLTools