致測試同仁們：讓我們做安全測試吧！(7)

很多人認為執行測試才是測試，而我們的安全測試從這里就開始了。

了解了業務以后，我們需要考慮系統中會有什么有價值的數據。這是為下一步加入惡意用戶需求做準備。對于一個網上商城，有價值的數據可以包括產品信息、訂單信息、用戶信息、支付，等等。

這個環節對我們測試人員來說并沒有太多額外的工作，畢竟我們做非安全測試的時候也是需要了解業務。不過要注意了，我們要測試的“圖片上傳功能”是一個涉及有價值數據的功能。我們需要提高警惕了。

2. 在需求階段加入惡意用戶需求

惡意用戶需求是用來記錄惡意用戶想要在系統中達到的目的。與普通用戶需求的區別是，我們不是要去實現它，而是使用它幫來助我們遠離對系統使用者“不恰當的信任”。通常我們需要針對每一個合法用戶需求來增加一個或多個相對應的惡意用戶需求。

舉個例子，如果我們這個“圖片上傳功能”的合法用戶需求為：

作為一個買家，我想在對商品進行評價的時候上傳圖片作為買家秀，以便于參加返現營銷活動。

那么對應的惡意用戶需求可以是：

作為一個惡意用戶，我想破壞買家秀返現活動，以便破壞商城的營銷活動。

“破壞買家秀返現活動”是一個大的目標。為了設計用例方便，它可以被細分為一系列小目標。比如：

• 讓用戶無法上傳圖片
• 讓頁面無法正確顯示圖片
• 等等

有了惡意用戶需求的主干信息，我們就可以開始下一步設計安全測試用例了。

原文轉自：http://www.infoq.com/cn/articles/to-test-colleagues-let-us-do-a-safety-test