天天久-天天久久-天天久久狠狠色综合-天天久久影视色香综合网-天天久久综合-天天久久综合网站

首先，改變安全測(cè)試的視角。我認(rèn)為，如果我們想做好安全測(cè)試，我們必須首先改變查看軟件的視角，無論是有完整的堆棧工作經(jīng)驗(yàn)還是只有一部分技術(shù)專長(zhǎng)。例如，讓我們看一下同一幅畫。許多人第一眼看到兩張臉，但是許多人看到一個(gè)大花瓶。這是由不同的視角造成的。當(dāng)我第一次接觸安全測(cè)試時(shí)，我深深地感受到了這一點(diǎn)。當(dāng)時(shí)，我還在測(cè)試一個(gè)網(wǎng)絡(luò)應(yīng)用程序的帳戶登錄功能。當(dāng)我們嘗試通過鍵入不正確的登錄名登錄時(shí)，計(jì)算機(jī)瀏覽器上的消息是“此登錄名將不可用”。當(dāng)我們嘗試正確的登錄名和不正確的登錄密碼時(shí)，消息提示會(huì)變成“不正確的登錄密碼。”我對(duì)這個(gè)明顯的錯(cuò)誤提示非常滿意。想象一下，如果我是一個(gè)真正的終端產(chǎn)品，這個(gè)信息內(nèi)容會(huì)幫助我縮小糾錯(cuò)范圍，提高工作效率，這是非常好的。然而，蹲在我旁邊的安全測(cè)試工程師立即跳了出來:“這個(gè)消息表明，它必須改變！敏感信息內(nèi)容暴露了！”看到我一臉茫然，安全測(cè)試工程師告訴我，根據(jù)我們的信息，系統(tǒng)軟件的有意用戶可以推斷出系統(tǒng)軟件中已經(jīng)存在什么登錄名，然后用這個(gè)登錄名對(duì)登錄密碼進(jìn)行暴力破解，從而縮小了解密的范圍。因此，該信息內(nèi)容不僅為合理合法的用戶提供了方便，也為系統(tǒng)軟件的惡意用戶提供了方便。通常，這種便利對(duì)系統(tǒng)軟件的有意用戶的好處遠(yuǎn)遠(yuǎn)高于對(duì)合理合法用戶的好處。這次親身經(jīng)歷不僅讓我震驚，也讓我意識(shí)到很多安全系統(tǒng)的漏洞以前就已經(jīng)擺在我的眼前，但是我沒有看到它們，因?yàn)槲蚁氲锰嗔?。事?shí)上，在我們親身經(jīng)歷的不同新項(xiàng)目中，當(dāng)我們改變視角時(shí)，我不需要尋找一些安全系統(tǒng)漏洞，而只需要進(jìn)入我的視野。這一切都很容易得到。其次，改變測(cè)試中的模擬目標(biāo)，這樣我們可以從不同的角度觀察軟件。我們必須改變我們模擬的模擬目標(biāo)。這也是我們一起練習(xí)換角度的合理方式。當(dāng)我們進(jìn)行非安全測(cè)試時(shí)，我們通常認(rèn)為自己是一個(gè)合理合法的客戶，然后我們才開始驗(yàn)證系統(tǒng)軟件是否能夠達(dá)到預(yù)設(shè)的總體目標(biāo)。例如，對(duì)于一個(gè)網(wǎng)上商城系統(tǒng)，我們將認(rèn)證系統(tǒng)軟件是否允許客戶訪問和購買產(chǎn)品，我們還將測(cè)試一些異常的個(gè)人行為，比如購買的產(chǎn)品總數(shù)是否不是一個(gè)大數(shù)字，而是一串沒有意義的英文字母，看看系統(tǒng)軟件能否給出一個(gè)優(yōu)雅的回答。我們測(cè)試的目的通常是