成为一个安全测试人员是艰难的。它需要深度培训和专业的系统架构，计算机工程、网络理论，和人类心理学。学习这些技能需要相当多的时间，所以测试人员要真正成为一个安全大师要努力数年时间。如果你正在学习成为一个安全测试人员，这里有十个迹象表明你没有准备好：

　　10、你的密码出现在这个列表[注1]。

　　9、你的概念的社会工程[注2]是抛出一个很棒的聚会，然后找出每个人如何能有最好的可能的时间。

　　8、你认为56位DES[注3]应该适合任何人。

　　7、你不能记住如果你的医生给你一个SQL注入[注4]和你的最后一组接种疫苗。

　　6、你认为Van Eck phreaking[注5]是Armin Van Buuren[注5]的最新专辑。

　　5、当你听到有人提到一个缓存溢出[注6]，你开始寻找一个拖把。

　　4、你认为钓鱼式攻击[注7]也意味着被人用石头砸，去Vermont乐队演唱会。

　　3、当你听到OWASP（网络开源应用安全项目），你认为是一罐杀虫剂。

　　2、你认为跨站点脚本[注8]是一个花哨的形式的书法。

　　1、你担心如果私钥不公开一点，它永远不会被接受，它的朋友和公共密钥将永远是受欢迎的一个。

　　注1：“最糟糕的密码”列表

　　制作密码管理应用程序的“数据飞溅”公司发布了其年度“最糟糕的密码”列表，这些密码被黑客从常见的密码。排名前三的是——“password”、“123456”和“654321”——自去年以来一直没有改变。新加入的包括“Master”、“Shadow”、“football”。其他的密码有上榜和出榜的波动。

　　“这意味着人们甚至不改变默认的密码”，首席执行官Morgan Slain告诉TIME科技。“并不需要那么多时间去做一个新密码”。你应该为您的所有账户设置不同的密码。为了使它更容易记住他们， Slain建议考虑密码为“密码短语”。例如，使用一个短语就像“狗吃骨头（dog eats bone）”和添加下划线，破折号、连字符，和其他标点符号来满足特殊字符要求：“狗_吃_骨_头！（dog_eats_bone！）”。

　　下面是榜单的完整列表：

　　注2：

　　社会工程为某些非容易的获取讯息，利用社会科学（此指其中的社会常识）尤其心理学，语言学，欺诈学将其进行综合，有效的利用（如人性的弱点），并最终获得信息为最终目的学科称为“社会工程学”。

　　注3：

　　数据加密标准（DES，Data Encryption Standard）是一种使用密钥加密的块密码，1976年被美国联邦政府的国家标准局确定为联邦资料处理标准（FIPS），随后在国际上广泛流传开来。它基于使用56位密钥的对称算法。这个算法因为包含一些机密设计元素，相对短的密钥长度以及被怀疑内含美国国家安全局（NSA）的后门而在开始时是有争议的，因此DES因此受到了强烈的学院派式的审查，并以此推动了现代的块密码及其密码分析的发展。

　　DES现在已经不被视为一种安全的加密算法，主要因为它使用的56位密钥过短。1999年1月，distributed.net与电子前哨基金会合作，在22小时15分钟内即公开破解了一个DES密钥。也有一些分析报告提出了该算法的理论上的弱点，虽然在实际中难以得到应用。为了提供实用所需的安全性，可以使用DES的派生算法3DES来进行加密，虽然3DES也存在理论上的攻击方法。在2001年，DES作为一个标准已经被高级加密标准（AES）所取代。另外，DES已经不再作为国家标准科技协会（前国家标准局）的一个标准。

　　注4：

　　所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击。