致測試同仁們：讓我們做安全測試吧！(4)

4. 都需要有探索的過程

測試是一個了解軟件系統是否完成我們預期的過程，也是探索系統還有哪些我們沒有預期的行為的過程。安全測試的過程需要把探索的目標轉向安全漏洞。當我們這么做時，我們同樣會得到很多探索的樂趣。

5. 都要有測試人員必備的“懷疑態度”

相信咱們測試人員都非常熟悉一個場景－－開發人員說：“我只做了一個很小的代碼改動。”然后我們帶著友好而警惕的態度，發現這個“很小的改動”引發了很大的問題。不管是在安全測試還是非安全測試，這個警惕性是我們都需要保持的良好傳統。

那么，有了這么多類似的地方，還缺什么呢？如果想要做專家，還差很多。但是如果想馬上安全測試上起步，我們可以先做下面的改變。

安全測試的三步曲

第一，轉換視角

在我看來，不管是帶著全棧的經驗，還是只有部分技術知識，想要做好安全測試必須先轉換我們觀察軟件的視角。舉個例子，讓我們看看下這幅畫：

同樣一幅畫，有人一眼看過去看到的是兩個人臉，而有人看到的是一個花瓶。這就是觀察的視角不同造成的。

在我剛開始接觸安全測試時就很深的體會到了這一點。當時我在測試一個Web應用的用戶登錄功能。當我輸入錯誤的用戶名來試著登陸時，瀏覽器上的提示信息為“該用戶名不存在”。當我嘗試正確的用戶名而錯誤的密碼時，提示信息變成“密碼輸入錯誤。”對于這個清晰的錯誤提示我非常滿意。試想我若是一個真實的終端用戶，這個信息有效的幫助我縮小我所要糾錯的范圍，提高效率，非常好。

原文轉自：http://www.infoq.com/cn/articles/to-test-colleagues-let-us-do-a-safety-test