安全测试作为一门越来越受关注的测试技术,至少近年来我的体会是更多的人加入安全测试领域,原因?需求量越来越大,人才缺口却越来越明显。 随着互联网的发展,安全问题也显得越来越重要。一个大型的互联网站点,如果你每天查看日志,都会有很多尝试攻击性的脚本,如果你的网站没有?好吧,那只能证明你的网站影响力还不够大。 实际上,很多所谓的安全测试工程师仅仅停留在使用一些自动化审计工具来检测系统,并对工具检测出来的bug进行梳理,然后把它提给开发人员。这样好不好? 我经常跟一些同行朋友说,安全测试的核心在什么,在于指导开发人员去写出安全漏洞较少的代码。使用自动化工具自然是一时简单,实际上并不能起到安全测试的真正目的,因为你不懂原理,不懂代码,当开发人员也对于安全一窍不通的时候,根本没办法解决你从自动审计工具上整理下来的bug。 安全测试涵盖的范围很广,在某种程度上你需要有比性能测试、自动化测试等更为广泛的基础知识。在这里我简单给大家一个自学路线: 1. 掌握更多的软件基本知识。例如http协议、http状态码、数据库操作、中间件、服务器、linux、python等基础知识。 2. 学习了解安全漏洞的原理。各种注入、跨站、绕过等等黑客技术的原理和实现。 3. 学习安全漏洞的测试方法。基于原理,了解学习最简单有效的安全漏洞测试方法,可以结合使用部分半自动化工具等。 4. 了解安全漏洞的防范知识。安全人员要知其然,还要知其所以然,不仅要知道如何去测,还要知道如何去改。教开发码代码,这才是你应该到达的境界。 5. 学会监控。更多时候不管是面对一个系统,还是一个蜜罐,你都要用监控的方式来查看“脚本小子”们到底在用什么方式尝试攻击你的系统,从而采取最合理的方式去避免攻击。 文章来源:网络 版权归原作者所有 上文内容不用于商业目的,如涉及知识产权问题,请权利人联系小编,我们将立即处理 |
|