致測試同仁們：讓我們做安全測試吧！

今天，很多軟件并沒有經過專門的安全測試便運行在互聯網上，它們攜帶著各類安全漏洞直接暴露在公眾面前，其中一些漏洞甚至直指軟件所承載的核心敏感信息或業務邏輯。這些漏洞一旦被不懷好意者利用，很可能會給企業造成經濟損失，帶來負面聲譽影響的同時，還可能被起訴遭到罰款等等，細思極恐。其中的一部分原因是企業本身安全意識不強，但是很多時候雖然軟件企業已經開始意識到這些問題，卻苦于缺少專業的安全測試人員，他們不得不冒著極大的風險先上線賭一把運氣再說。

既然如此，我們測試人員作為質量代言人怎能對此置之不理呢？

你也許會抱怨，安全測試水太深了，不知道從何下手。

安全測試并不遙遠

是的，安全測試在軟件測試里面是一個很特別的科目（或作“工種”），每次一碰到這個科目，很多人都覺得這個科目應該全權交給神秘的安全測試人員來管。這一個觀念導致很多測試人員徘徊在安全測試的門口卻遲遲不進去，包括我自己。

直到后來，我非常有幸能夠在不同規模的軟件開發項目上跟“神秘的安全測試人員”學習如何進行安全測試，發現“神秘的安全測試人員”不光是名字跟我們一樣都有“測試”二字，所做的事情在本質上也是跟我們測試人員有很多相通。

想想看我們都做過什么：

我們修改過url的參數，對不對？他們也是！

我們在數據輸入處提供過不合法的數據，對不對？他們也是！

我們嘗試過修改只讀數據，對不對？他們也是！

我們也測過用戶會話是否如期timeout，對不對？他們也是！

Ok，這還不是全部。知道嗎？他們也做測試計劃、測試用例設計、bug分析與管理等等。所以，安全測試離我們并沒有那么遙遠。

原文轉自：http://www.infoq.com/cn/articles/to-test-colleagues-let-us-do-a-safety-test