首先,改變安全測試的視角。我認為,如果我們想做好安全測試,我們必須首先改變查看軟件的視角,無論是有完整的堆棧工作經(jīng)驗還是只有一部分技術(shù)專長。例如,讓我們看一下同一幅畫。許多人第一眼看到兩張臉,但是許多人看到一個大花瓶。這是由不同的視角造成的。當我第一次接觸安全測試時,我深深地感受到了這一點。當時,我還在測試一個網(wǎng)絡(luò)應(yīng)用程序的帳戶登錄功能。當我們嘗試通過鍵入不正確的登錄名登錄時,計算機瀏覽器上的消息是“此登錄名將不可用”。當我們嘗試正確的登錄名和不正確的登錄密碼時,消息提示會變成“不正確的登錄密碼。”我對這個明顯的錯誤提示非常滿意。想象一下,如果我是一個真正的終端產(chǎn)品,這個信息內(nèi)容會幫助我縮小糾錯范圍,提高工作效率,這是非常好的。然而,蹲在我旁邊的安全測試工程師立即跳了出來:“這個消息表明,它必須改變!敏感信息內(nèi)容暴露了!”看到我一臉茫然,安全測試工程師告訴我,根據(jù)我們的信息,系統(tǒng)軟件的有意用戶可以推斷出系統(tǒng)軟件中已經(jīng)存在什么登錄名,然后用這個登錄名對登錄密碼進行暴力破解,從而縮小了解密的范圍。因此,該信息內(nèi)容不僅為合理合法的用戶提供了方便,也為系統(tǒng)軟件的惡意用戶提供了方便。通常,這種便利對系統(tǒng)軟件的有意用戶的好處遠遠高于對合理合法用戶的好處。這次親身經(jīng)歷不僅讓我震驚,也讓我意識到很多安全系統(tǒng)的漏洞以前就已經(jīng)擺在我的眼前,但是我沒有看到它們,因為我想得太多了。事實上,在我們親身經(jīng)歷的不同新項目中,當我們改變視角時,我不需要尋找一些安全系統(tǒng)漏洞,而只需要進入我的視野。這一切都很容易得到。其次,改變測試中的模擬目標,這樣我們可以從不同的角度觀察軟件。我們必須改變我們模擬的模擬目標。這也是我們一起練習(xí)換角度的合理方式。當我們進行非安全測試時,我們通常認為自己是一個合理合法的客戶,然后我們才開始驗證系統(tǒng)軟件是否能夠達到預(yù)設(shè)的總體目標。例如,對于一個網(wǎng)上商城系統(tǒng),我們將認證系統(tǒng)軟件是否允許客戶訪問和購買產(chǎn)品,我們還將測試一些異常的個人行為,比如購買的產(chǎn)品總數(shù)是否不是一個大數(shù)字,而是一串沒有意義的英文字母,看看系統(tǒng)軟件能否給出一個優(yōu)雅的回答。我們測試的目的通常是
行業(yè)資訊
網(wǎng)站安全滲透測試的多種姿態(tài)
瀏覽:25 時間:2025-6-5