测试小白踩坑记--安全测试

接触安全测试的亲身经历纪念一下踩坑的过程。01—第一次亲密接触第一次接触安全测试是在公司A。这是一个web项目由于要放置在公网上所以需要安全测试。此前我所接触的web项目都是在内网的没怎么关注过安全方面。这次说要做安全测试我也是一脸懵逼的。有牛人提出先用AppScan扫描就行了。可是我还是第一次听说这个AppScan。没办法硬着头皮上吧。急急忙忙的百度想尽量多的了解相关的信息。我开始安装AppScan然后对web项目进行扫描。现在大家可能觉得挺简单但是对于当时的我也是百度了好久才搞定。还好开发人员比较牛配合我开展测试工作比如关闭验证码我只要提供AppScan的扫描报告就可以了。开发人员修复问题后也用了很长时间我再次扫描就可以回归测试了我也没做深入的研究。这是我第一次接触安全测试可以说还是基础的了解。02—第二次亲密踩坑第二次接触安全测试是在公司B。这次也是一个放置在公网的web项目也是提出用AppScan扫描。这次不同的是开发人员也没接触过安全测试。这次我有底了虽然过程中遇到问题但是我还是搞定了。可是当我提供了AppScan的扫描报告后开发经理看了一眼说开发人员没搞过看不懂让测试分析出明确的结果。我心里有一万匹羊驼飞过。最后没办法开发很强势那就分析扫描报告吧。幸运的是这次扫描的结果中大部分问题都比较简单虽然耗时较长但是经过百度还是能搞明白的。然后我提供了一份缺陷列表明确指出系统的安全问题当然也有些问题我还是没搞明白。可以说这次对安全测试又深入了解不少。03—第三次深入坑底第三次接触安全测试是在公司C。这次公司有个产品要进大厂HW的采购名单需要通过大厂的安全测试才行。大厂给出了安全红线要求大厂确实不同凡响给出了各个维度的安全要求从操作系统到数据库从协议接口到敏感数据加密从日志审计到口令加密从web项目安全再到产品的开发发布等等各个方面都提出了安全要求这次要动真格的了必须要通过大厂的安全测试但是现实是我们的开发和测试人员对此也是懵逼的第一轮测试我们没能通过大厂的安全测试然后我们逐项的研究与大厂沟通自测自证这次涉及到各种安全测试工具各种安全要求。这回真是花了不少功夫直到最后通过大厂的安全测试感觉这次才对安全测试有了一个概括的了解有种不识庐山真面目只缘身在此山中的豁然开朗的感觉。感觉之前都是陷入了安全测试其中的一个细节点上而不自知。要学的东西还很多呀。路漫漫其修远兮奔涌吧后浪。​