接觸安全測試的親身經歷,紀念一下踩坑的過程。
01
—
第一次親密接觸
第一次接觸安全測試是在公司A。這是一個web項目,由於要放置在公網上,所以需要安全測試。
此前我所接觸的web項目都是在內網的,沒怎麼關注過安全方面。這次說要做安全測試,我也是一臉懵逼的。
有牛人提出,先用AppScan掃描就行了。可是我還是第一次聽說這個AppScan。沒辦法,硬着頭皮上吧。急急忙忙的百度,想盡量多的瞭解相關的信息。
我開始安裝AppScan,然後對web項目進行掃描。
現在大家可能覺得挺簡單,但是對於當時的我也是百度了好久才搞定。
還好,開發人員比較牛,配合我開展測試工作,比如,關閉驗證碼,我只要提供AppScan的掃描報告就可以了。
開發人員修復問題後(也用了很長時間),我再次掃描就可以迴歸測試了,我也沒做深入的研究。
這是我第一次接觸安全測試,可以說還是基礎的瞭解。
02
—
第二次親密踩坑
第二次接觸安全測試是在公司B。這次也是一個放置在公網的web項目,也是提出用AppScan掃描。
這次不同的是,開發人員也沒接觸過安全測試。這次我有底了,雖然過程中遇到問題,但是我還是搞定了。
可是當我提供了AppScan的掃描報告後,開發經理看了一眼,說開發人員沒搞過,看不懂,讓測試分析出明確的結果。
我心裏有一萬匹羊駝飛過。最後沒辦法,開發很強勢,那就分析掃描報告吧。
幸運的是,這次掃描的結果中,大部分問題都比較簡單;雖然耗時較長,但是經過百度,還是能搞明白的。然後,我提供了一份缺陷列表,明確指出系統的安全問題;當然,也有些問題我還是沒搞明白。
可以說,這次對安全測試又深入瞭解不少。
03
—
第三次深入坑底
第三次接觸安全測試是在公司C。這次公司有個產品要進大廠(HW)的採購名單,需要通過大廠的安全測試纔行。
大廠給出了安全紅線要求,大廠確實不同凡響,給出了各個維度的安全要求:從操作系統到數據庫,從協議接口到敏感數據加密,從日誌審計到口令加密,從web項目安全,再到產品的開發,發佈等等,各個方面都提出了安全要求;
這次要動真格的了,必須要通過大廠的安全測試;但是現實是,我們的開發和測試人員對此也是懵逼的,第一輪測試我們沒能通過大廠的安全測試;
然後我們逐項的研究,與大廠溝通,自測自證;這次涉及到各種安全測試工具,各種安全要求。這回真是花了不少功夫,直到最後通過大廠的安全測試;
感覺這次纔對安全測試有了一個概括的瞭解,有種不識廬山真面目,只緣身在此山中的豁然開朗的感覺。
感覺之前都是陷入了安全測試其中的一個細節點上,而不自知。要學的東西還很多呀。
路漫漫其修遠兮,奔湧吧,後浪。
