OWASP top10
安全测试是非常复杂的,相信大家都没有异议。一个专业的安全测试专家在某种程度上来说是一个全栈工程师。所以,想要在安全测试上一夜成才很难。
作为测试人员的我们却有得天独厚的优势,使我们能够在安全测试上快速起步,帮助团队尽快展开预防并检测安全漏洞的工作。
安全测试工程师的日常工作有:
·负责公司产品的安全测试、漏洞扫描等工作;
·保障产品安全质量、负责安全测试技术积累、提升安全测试能力和效率;
·跟踪和分析业界最新安全漏洞、发展趋势和解决方案,引入业界安全测试最佳实践;
·负责设计系统的安全测试框架和测试流程,负责制定安全开发规范;
·对研发人员、测试相关人员进行安全规范培训,提升规范的可实施性。
安全测试工程师的入门,一般都是从OWASP 入门,OWASP Top 10包括:跨站脚本攻击(XSS)、敏感信息泄露、注入、失效身份验证和会话管理、XML外部实体注入攻击(XXE)、存取控制中断、安全性错误配置、不安全的反序列化、日志记录和监控不足、使用具有已知漏洞的组件。
在具体做安全测试的时候我们会发现并不是那么容易去模拟恶意用户的行为,毕竟系统的前端会给我们很多的屏障,而且恶意用户可不总都是从系统前门进去的。
这时候,使用一些工具,对我们的安全测试工作是非常有帮助的,有了这些实用又比较容易上手的工具,就可以执行很多恶意用户的操作场景了。
安全测试常用测试工具
安全测试工程师所需技能
我们先来看一看各大招聘网站中对安全测试工程师的要求,就基本能明白这个行业需要哪一些技能:
所以想要成为一名安全测试工程师,首先是要使用别具一格的视角来审视需要测试的软件,这种能力说难不难,说简单却绝不简单。
举个例子:假设你正在测试一个后台用户登录界面,你输入错误的用户名时提示“该用户名不存在”,你输入正确的用户名但是错误的密码时提示“密码输入错误”,这时你没有任何想法,一掠而过。
但是一个安全测试员会说:敏感信息暴露了,提示信息需要修改!
为什么?!因为通过我们的提示信息,恶意用户可以推测出哪些用户名已经存在于系统中,然后利用这些用户名再进行密码的暴力破解!
有了好的测试思路,还需要使用专用的测试工具。
为什么需要漏洞扫描器?通过使用软件之类的软件进行漏洞测试,可以大大降低风险。
扫描器集成前人的智慧,可以快速有效的得到一份测试报告,测试工具要多用多练,只有通过不断的练习,才能掌握工具的窍门。工具使用的多了,反过来也推进了测试思路的演变,相辅相成。
作为安全测试工程师,还有一个重点的点是要遵纪守法,安全圈的诱惑很多,切记不可以身试法!
安全测试基础
那么想要成为一名优秀的安全测试工程师需要哪些必备的技能呢?我简单给大家罗列一下。
......
查看更多精彩内容,请点击下载:
版权声明:本文出自《51测试天地》第六十三期。51Testing软件测试网及相关内容提供者拥有51testing.com内容的全部版权,未经明确的书面许可,任何人或单位不得对本网站内容复制、转载或进行镜像,否则将追究法律责任。