致測試同仁們：讓我們做安全測試吧！(6)

有了思維的轉換，我們可以加入新的測試想法。但是，在具體做安全測試的時候我們會發現并不是那么容易去模擬惡意用戶的行為。畢竟系統的前端會給我們很多的屏障。而且惡意用戶可不總都是從系統前門進去的。這時候，使用一些工具，比如OWASP Zap( https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project)、Burp( https://portswigger.net/burp/ )等是非常有幫助的。我們可以在系統界面上執行功能測試的用例，用這些工具來獲取http請求，篡改后發送給后臺服務器。有了這些實用又比較容易上手的工具，我們就可以執行很多惡意用戶的操作場景了。

能做到這三點，起步就基本夠用了。

舉個例子吧

下面讓我們以網上商城的買家在商品評價中上傳圖片這個功能來講講如何實踐這“三板斧”。假設我們從項目初期就加入了，那么我們大致有七件事情要做：

1. 識別系統中有價值的數據；
2. 在需求分析階段加入惡意用戶需求；
3. 針對惡意用戶需求設計測試用例；
4. 參與啟動惡意需求的開發；
5. 在開發環境驗收惡意需求的實現；
6. 在測試環境中進行安全測試；
7. 向團隊反饋所發現的安全漏洞。

不要擔心，這不是7個全新的事情。這只是在每個需要測試人員出現的地方增加了安全的工作而已。

1. 識別系統中有價值的數據

原文轉自：http://www.infoq.com/cn/articles/to-test-colleagues-let-us-do-a-safety-test

• 共9頁:
• 上一頁
• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 下一頁