色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

成為安全測試工程師需要具備什么專業素養

工程師人生 ? 來源:工程師吳畏 ? 2019-02-21 14:58 ? 次閱讀

今天,很多軟件并沒有經過專門的安全測試便運行在互聯網上,它們攜帶著各類安全漏洞直接暴露在公眾面前,其中一些漏洞甚至直指軟件所承載的核心敏感信息或業務邏輯。這些漏洞一旦被不懷好意者利用,很可能會給企業造成經濟損失,帶來負面聲譽影響的同時,還可能被起訴遭到罰款等等,細思極恐。其中的一部分原因是企業本身安全意識不強,但是很多時候雖然軟件企業已經開始意識到這些問題,卻苦于缺少專業的安全測試人員,他們不得不冒著極大的風險先上線賭一把運氣再說。

看到這里你可能會說:正是由于這樣的情況,所以我們才要去做安全測試啊!

我在這里先不評價這個想法對或不對。要想知道為什么,請繼續往下看。

我先來介紹一下神秘的安全測試:安全測試在軟件測試里面是一個很特別的科目(“工種”),每次一碰到這個科目,很多人都覺得這個科目應該全權交給神秘的安全測試人員來管。這一個觀念導致很多測試人員徘徊在安全測試的門口卻遲遲不進去。

安全測試是非常復雜的,相信大家都沒有異議。一個專業的安全測試專家在某種程度上來說是一個全棧工程師。所以,想要在安全測試上一夜成才很難。雖然,作為測試人員的我們卻有得天獨厚的優勢,使我們能夠在安全測試上快速起步,幫助團隊盡快展開預防并檢測安全漏洞的工作。

作為一個安全測試人員,你需要具備什么專業素養呢?

要使用別具一格的視角來審視需要測試的軟件

這種能力說難不難,說簡單卻絕不簡單。舉個栗子:假設你正在測試一個web應用用戶登錄界面,你輸入錯誤的用戶名時提示“該用戶名不存在”,你輸入正確的用戶名但是錯誤的密碼時提示“密碼輸入錯誤”。這時你沒有任何想法,一掠而過。但是作為一個安全測試員他會說:敏感信息暴露了,提示信息需要修改!為什么?!!因為通過我們的提示信息,惡意用戶可以推測出哪些用戶名已經存在于系統中,然后利用這些用戶名再進行密碼的暴力破解!

要改變測試中模擬的對象

軟件測試人員通常會模擬普通用戶的操作來測試軟件,而安全測試員則需要模擬hacker來測試軟件。這里說一些題外話,零幾年軟件測試崗位就開始出現了,大家有沒有想過那批最早從事軟件測試的人都去哪兒,干什么去了呢?

那時候軟件測試還沒有這么專業,測試人員大多什么都需要會一點兒,做這一行的都是真心喜歡測試的,鉆研技術的人也比較多。由于經常找BUG,對軟件的漏洞測試人員也一清二楚,早期的軟件測試人員有的做了“黑帽子”,有的做了“白帽子”。而安全測試員就是由白客發展而來的。

使用專用的測試工具

在具體做安全測試的時候我們會發現并不是那么容易去模擬惡意用戶的行為。畢竟系統的前端會給我們很多的屏障。而且惡意用戶可不總都是從系統前門進去的。這時候,使用一些工具,比如OWASP Zap、Burp suite等是非常有幫助的。我們可以在系統界面上執行功能測試的用例,用這些工具來獲取http請求,篡改后發送給后臺服務器。有了這些實用又比較容易上手的工具,就可以執行很多惡意用戶的操作場景了。

一般來說,具備以上三點你就可以開始進行初步安全測試了。

現在我們可以回到文章開始的地方。文章開頭的那個想法在讀完上面的內容之后你會發現,它是對又不對的,很矛盾。確實由于很多公司不注重安全或者由于成本原因舍棄了安全保障,往后會需要更多安全測試員去進行安全測試。但是一個沒有安全測試思考力的安全測試員他真的能勝任這份工作嗎?

然而現實是:

一個安全測試工程師曾告訴我:他們公司安全測試崗位和其他崗位的比例為1:500。為什么?因為大公司的程序都是由很牛逼的開發做出來的,本身就已經有一定的防御能力,漏洞也不多,安全測試員的工作就是找出可能存在安全隱患的地方然后再由開發補上。一定程度上來說軟件已經算是固如金湯了,一個hacker真想找出漏洞,花費的時間和精力絕對是要翻倍的。你覺得一個公司需要這么多安全測試工程師嗎?

現在的情況是大公司才需要安全測試保障程序安全。小公司的想法是只要實現了用戶需求就萬事大吉了,何必花費大成本去保障安全呢?

作為惡意用戶,即hacker,他會花時間去“黑”一個小公司?不會,因為那對于他來說根本沒挑戰,也沒意義。

說到這里,我終于可以說一句:不推薦大家去做安全測試。這是建立在上文的分析之后的出的結論。很多人可能覺得安全測試工程師很高大上,薪資也非常可觀。但是你也要看清行業的現實狀況,不要一頭霧水就扎進安全測試的圈子,到頭來芝麻和西瓜都丟了,不值得。

最后也要聲明一下,我絕不是反對大家做安全測試。如果你對安全測試很感興趣,也有安全測試工程師需要有的獨特的思考視角,能夠沉下心來認真學習。那我非常推薦你去做安全測試,因為那才是適合你的工作!那才能證明你的價值!那才Cool!

那么,你還會選擇去做安全測試工程師嗎?

所以說,你還會向安全測試工程師靠攏嗎?

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • 測試工程師
    +關注

    關注

    6

    文章

    124

    瀏覽量

    12431
收藏 人收藏

    評論

    相關推薦

    嵌入式工程師常用的開發工具有哪些?

    項目管理和調試。IAR Embedded Workbench 也是廣受歡迎的 IDE,具有出色的優化能力和調試工具,能夠幫助工程師快速開發出高質量的嵌入式軟件。 二、編譯器 編譯器將高級語言
    發表于 12-20 15:29

    CAN總線測試工具選擇與使用

    在現代汽車和工業控制系統中,CAN總線因其高可靠性和靈活性而成為首選的通信協議。為了確保CAN網絡的性能和可靠性,工程師需要使用專業測試工
    的頭像 發表于 11-12 10:16 ?500次閱讀

    電力電子工程師拿到50W以上的年薪需要具備哪些技能

    高薪電力電子工程師需要具備的技能
    的頭像 發表于 11-05 09:44 ?286次閱讀
    電力電子<b class='flag-5'>工程師</b>拿到50W以上的年薪<b class='flag-5'>需要</b><b class='flag-5'>具備</b>哪些技能

    Keysight助力提升工程師測試測量知識水平

    Keysight為您解鎖測試測量領域的最新知識,助力工程師在快速變化的科技環境中保持競爭力。
    的頭像 發表于 10-16 09:28 ?407次閱讀

    FPGA算法工程師、邏輯工程師、原型驗證工程師有什么區別?

    ,還需要與軟件工程師、硬件工程師緊密合作,對整個系統進行集成和測試。 總的來說,FPGA 算法工程師著重于算法優化,FPGA 邏輯
    發表于 09-23 18:26

    需要無刷電控硬件工程師

    需要無刷電控硬件工程師,地點東莞松山湖。最好有5-10年經驗,大功率電摩電控。有意私聊。
    發表于 09-11 22:51

    尋求專業工程師幫助設計USB多口充電器

    嗨, 我正在開發一款USB多口充電器,現尋求一位專業工程師或產品設計的幫助。希望能夠與有經驗的工程師合作,共同完成產品設計。以下是我們的需求: 產品類型:USB多口充電器 基本設計要
    發表于 08-05 12:03

    嵌入式軟件工程師如何提升自己?

    的基礎 嵌入式軟件工程師需要具備扎實的計算機科學和工程知識。因此,在職業生涯的起步階段,建議將重點放在學習基礎知識上,包括數據結構、算法、操作系統、編程語言等。通過深入學習這些基礎知識
    發表于 06-12 11:20

    嵌入式軟件工程師和硬件工程師的區別?

    。他們之間的緊密合作對于成功開發出高效的嵌入式系統至關重要。 嵌入式軟件工程師和嵌入式硬件工程師在工作中有著不同的技能要求和專業知識。嵌入式軟件工程師
    發表于 05-16 11:00

    大廠電子工程師常見面試題#電子工程師 #硬件工程師 #電路知識 #面試題

    電子工程師電路
    安泰小課堂
    發布于 :2024年04月30日 17:33:15

    優秀電源工程師需要哪些必備技能?

    就帶大家細數一下優秀電源工程師具備的那些技能。一、新手必備課程成為一名電源高手需要扎實的理論基礎,涉及電路原理、語言編程和控制理論等多個學科領域。為了幫助大家更好地掌握電源開發相關的關
    發表于 01-29 11:29

    為什么要做自動化測試測試工程師存在的必然性

    軟件測試這個過程的實施主體就是測試工程師。那么多少個測試工程師比較合適呢,或者換句話說如上的事情必須要測試工程師完成嗎?
    的頭像 發表于 01-16 11:32 ?920次閱讀

    網絡安全測試工具有哪些類型

    網絡安全測試工具是指用于評估和檢測系統、網絡和應用程序的安全性的一類軟件工具。這些工具可以幫助組織和企業發現潛在的安全漏洞和威脅,以便及時采取措施加固和修復。根據不同的功能和用途,網絡
    的頭像 發表于 12-25 15:00 ?1282次閱讀
    主站蜘蛛池模板: 亚洲欧美日韩精品久久奇米色影视| 久久99re7在线视频精品| 97SE亚洲国产综合自在线不卡 | 国产AV精品白浆一区二| sm主人调教揉花蒂H| 99视频在线免费| 51vv视频社区| 最近免费视频中文2019完整版 | 求个av网站| 欧美日韩国产高清综合二区| 男人吃奶摸下挵进去啪啪| 伦理片在线线看手机版| 免费国产福利| 男人被绑着强行摸j| 欧美精品九九99久久在观看| 翘臀后进美女白嫩屁股视频| 琪琪的色原网站| 日欧一片内射VA在线影院| 日韩AV无码一区二区三区不卡毛片 | 亚洲视频一区| 亚洲色大成网站WWW永久麻豆| 亚洲熟女片嫩草影院| 一本色道久久综合亚洲AV蜜桃| 伊人久久精品AV一区二区| 总攻催眠受的高h巨肉np| 最新精品学生国产自在现拍| 99九九精品国产高清自在线| 99视频在线免费观看| 国产99久久久欧美黑人刘玥| 国产精品一区二区AV97| 好大的太粗好深BL| 久久亚洲国产精品亚洲| 嗯啊好爽视频| 日日噜噜夜夜狠狠扒开双腿| 天天狠狠色综合图片区| 亚洲精品久久久无码AV片软件| 一个人免费播放高清在线观看 | 午夜福利小视频400| 亚洲视频在线观| AV久久久囯产果冻传媒| 国产成人啪精品视频免费网|