如何學習系統安全性測試

小王最近在51cto(http://bbs.51cto.com/thread-889997-1.html)看到一個帖子，是關於如何學習系統安全性測試的，小王回覆了一下，帖子內容如下：有網絡功底！做過網絡安全，對網絡設備 安全設備非常熟悉，精通網絡協議 安全協議。！沒做過開發。不懂語言腳本！ 現在公司要求做應用系統安全性測試。請問從事這方面的工作員 指點一二！   如果實在不行，我想還是放棄了.. 求指點！！！！！

小王的回覆：不清楚樓主是在軟件公司還是安全公司，但有網絡安全功底，做應用系統安全性測試還是有很大幫助的。我不是專業人士，只能通過自身經歷，與大家分享一下我對應用系統安全性測試的看法。

1、應用系統自身安全性，比如防破解。小王單位以前找軟件公司開發過一套檔案管理系統，每次在安裝都需要根據一組生成的字符串，再用註冊機生成註冊碼後才能正常使用，比較麻煩，軟件公司也不給註冊機，小王只好找到相關開發工具的反編譯軟件讀取這套軟件的源代碼。原來這套軟件的註冊碼是根據計算機硬盤的序列號，通過一個加密函數生成的，比較簡單，知道原理後，小王就些了個小程序，自己生成註冊碼。如果防破解做的複雜些，不至於這麼容易被破解。

2、應用系統要注意在使用過程中不要泄露敏感信息。小王的一位同事在使用一套上級部門下發的一套MIS系統時，遇到一些問題，找小王給看一下，在分析過程中，小王發現需要修改一下數據庫中的某表的某字段，數據庫在本地，通過odbc連接，需要用戶名和密碼纔可以連接上，小王先把數據庫備份了一下，然後刪除掉，再運行程序，程序由於無法找到這個數據庫文件，就彈出一個odbc連接框，其中就有明文的用戶名和星號顯示的密碼，用星號讀取軟件就知道了數據庫的密碼，估計開發這套軟件的軟件公司都用的是這個密碼。小王要說的是，應用系統在使用過程中，會遇到各種各樣的操作系統環境，有時某個錯誤就會泄露出軟件的一些敏感信息，開發者需要作好屏蔽錯誤信息。

3、應用系統是否會對使用者的計算機造成安全隱患。幾年前，坊間有傳聞，某通訊軟件有遠程溢出漏洞，***者可獲得使用者計算機的管理權限。做這類應用系統的安全性測試，對測試者的技術要求很高，尤其是低層方面的。

4、應用系統是否會對相關數據庫和數據庫服務器產生安全威脅。小王以前寫過一篇這方面的文章，題目是：國內多家軟件公司產品存在安全隱患，地址：http://www.5iadmin.com/post/332.html，樓主可以看一下。