致測試同仁們：讓我們做安全測試吧！(9)

而這個環節存在的第二個目的是讓我們可以從開發人員那里得到支持－具體實施的細節，幫助我們完善具體的測試用例。比如在這個時間點我們若從開發人員那里得知系統的后臺沒有對圖片上傳者做身份驗證，我們就可以至少增加一個測試的用例：“惡意用戶以其他用戶的身份上傳一個風馬牛不相及的圖片”。有時候錯誤的圖片比沒有圖片更具有殺傷力。

6. 在測試環境中進行安全測試

終于到了運行測試的階段?？赡苓@個時候我們之前想到的測試用例已經被開發人員給解決。如果是這樣那就太好了。但是，事實并非有這么美好。第一，可能這些用例只是在開發環境上成功通過了，但是在理想的測試環境里，也就是類產品環境里，這些用例可能并不能完全通過；第二，肯定還有其他需要探索的地方。這時我們就可以用OWASP Zap、Burp這樣的工具來輔助我們把之前的安全測試用例執行一次，同時還再可以對系統的安全性做一下探索測試。

7. 向團隊反饋所發現的安全 漏洞

都測得差不多的時候，我們就可以向團隊以及相關干系人匯報安全測試的結果了。跟非安全測試不同的地方是，當我們反饋安全漏洞的時候，要考慮是否不同漏洞結合起來會增加系統的安全風險。舉個例子：如果有兩個安全漏洞，一個是系統沒有很強的用戶賬戶密碼規規則，另一個是系統沒有對上傳圖片的大小做限制，那么惡意

用戶把這兩個漏洞一結合起來，事情就比原來風險大很多。那么我們就必須建議提高這兩個漏洞中任意一個的優先級。

當我們用“三板斧”走完這七步以后，我們已經可以把很多安全漏洞都挖出來了。是不是沒有想象中的難？所以，測試同仁們，讓我們做安全測試吧！

原文轉自：http://www.infoq.com/cn/articles/to-test-colleagues-let-us-do-a-safety-test