接触安全测试的亲身经历,纪念一下踩坑的过程。
01
—
第一次亲密接触
第一次接触安全测试是在公司A。这是一个web项目,由于要放置在公网上,所以需要安全测试。
此前我所接触的web项目都是在内网的,没怎么关注过安全方面。这次说要做安全测试,我也是一脸懵逼的。
有牛人提出,先用AppScan扫描就行了。可是我还是第一次听说这个AppScan。没办法,硬着头皮上吧。急急忙忙的百度,想尽量多的了解相关的信息。
我开始安装AppScan,然后对web项目进行扫描。
现在大家可能觉得挺简单,但是对于当时的我也是百度了好久才搞定。
还好,开发人员比较牛,配合我开展测试工作,比如,关闭验证码,我只要提供AppScan的扫描报告就可以了。
开发人员修复问题后(也用了很长时间),我再次扫描就可以回归测试了,我也没做深入的研究。
这是我第一次接触安全测试,可以说还是基础的了解。
02
—
第二次亲密踩坑
第二次接触安全测试是在公司B。这次也是一个放置在公网的web项目,也是提出用AppScan扫描。
这次不同的是,开发人员也没接触过安全测试。这次我有底了,虽然过程中遇到问题,但是我还是搞定了。
可是当我提供了AppScan的扫描报告后,开发经理看了一眼,说开发人员没搞过,看不懂,让测试分析出明确的结果。
我心里有一万匹羊驼飞过。最后没办法,开发很强势,那就分析扫描报告吧。
幸运的是,这次扫描的结果中,大部分问题都比较简单;虽然耗时较长,但是经过百度,还是能搞明白的。然后,我提供了一份缺陷列表,明确指出系统的安全问题;当然,也有些问题我还是没搞明白。
可以说,这次对安全测试又深入了解不少。
03
—
第三次深入坑底
第三次接触安全测试是在公司C。这次公司有个产品要进大厂(HW)的采购名单,需要通过大厂的安全测试才行。
大厂给出了安全红线要求,大厂确实不同凡响,给出了各个维度的安全要求:从操作系统到数据库,从协议接口到敏感数据加密,从日志审计到口令加密,从web项目安全,再到产品的开发,发布等等,各个方面都提出了安全要求;
这次要动真格的了,必须要通过大厂的安全测试;但是现实是,我们的开发和测试人员对此也是懵逼的,第一轮测试我们没能通过大厂的安全测试;
然后我们逐项的研究,与大厂沟通,自测自证;这次涉及到各种安全测试工具,各种安全要求。这回真是花了不少功夫,直到最后通过大厂的安全测试;
感觉这次才对安全测试有了一个概括的了解,有种不识庐山真面目,只缘身在此山中的豁然开朗的感觉。
感觉之前都是陷入了安全测试其中的一个细节点上,而不自知。要学的东西还很多呀。
路漫漫其修远兮,奔涌吧,后浪。
网友评论