今天，很多軟件并沒(méi)有經(jīng)過(guò)專門(mén)的安全測(cè)試便運(yùn)行在互聯(lián)網(wǎng)上，它們攜帶著各類安全漏洞直接暴露在公眾面前，其中一些漏洞甚至直指軟件所承載的核心敏感信息或業(yè)務(wù)邏輯。這些漏洞一旦被不懷好意者利用，很可能會(huì)給企業(yè)造成經(jīng)濟(jì)損失，帶來(lái)負(fù)面聲譽(yù)影響的同時(shí)，還可能被起訴遭到罰款等等，細(xì)思極恐。其中的一部分原因是企業(yè)本身安全意識(shí)不強(qiáng)，但是很多時(shí)候雖然軟件企業(yè)已經(jīng)開(kāi)始意識(shí)到這些問(wèn)題，卻苦于缺少專業(yè)的安全測(cè)試人員，他們不得不冒著極大的風(fēng)險(xiǎn)先上線賭一把運(yùn)氣再說(shuō)。

看到這里你可能會(huì)說(shuō)：正是由于這樣的情況，所以我們才要去做安全測(cè)試啊！

我在這里先不評(píng)價(jià)這個(gè)想法對(duì)或不對(duì)。要想知道為什么，請(qǐng)繼續(xù)往下看。

我先來(lái)介紹一下神秘的安全測(cè)試：安全測(cè)試在軟件測(cè)試?yán)锩媸且粋€(gè)很特別的科目（“工種”），每次一碰到這個(gè)科目，很多人都覺(jué)得這個(gè)科目應(yīng)該全權(quán)交給神秘的安全測(cè)試人員來(lái)管。這一個(gè)觀念導(dǎo)致很多測(cè)試人員徘徊在安全測(cè)試的門(mén)口卻遲遲不進(jìn)去。

安全測(cè)試是非常復(fù)雜的，相信大家都沒(méi)有異議。一個(gè)專業(yè)的安全測(cè)試專家在某種程度上來(lái)說(shuō)是一個(gè)全棧工程師。所以，想要在安全測(cè)試上一夜成才很難。雖然，作為測(cè)試人員的我們卻有得天獨(dú)厚的優(yōu)勢(shì)，使我們能夠在安全測(cè)試上快速起步，幫助團(tuán)隊(duì)盡快展開(kāi)預(yù)防并檢測(cè)安全漏洞的工作。

作為一個(gè)安全測(cè)試人員，你需要具備什么專業(yè)素養(yǎng)呢？

要使用別具一格的視角來(lái)審視需要測(cè)試的軟件

這種能力說(shuō)難不難，說(shuō)簡(jiǎn)單卻絕不簡(jiǎn)單。舉個(gè)栗子：假設(shè)你正在測(cè)試一個(gè)web應(yīng)用用戶登錄界面，你輸入錯(cuò)誤的用戶名時(shí)提示“該用戶名不存在”，你輸入正確的用戶名但是錯(cuò)誤的密碼時(shí)提示“密碼輸入錯(cuò)誤”。這時(shí)你沒(méi)有任何想法，一掠而過(guò)。但是作為一個(gè)安全測(cè)試員他會(huì)說(shuō)：敏感信息暴露了，提示信息需要修改！為什么？！！因?yàn)橥ㄟ^(guò)我們的提示信息，惡意用戶可以推測(cè)出哪些用戶名已經(jīng)存在于系統(tǒng)中，然后利用這些用戶名再進(jìn)行密碼的暴力破解！

要改變測(cè)試中模擬的對(duì)象

軟件測(cè)試人員通常會(huì)模擬普通用戶的操作來(lái)測(cè)試軟件，而安全測(cè)試員則需要模擬hacker來(lái)測(cè)試軟件。這里說(shuō)一些題外話，零幾年軟件測(cè)試崗位就開(kāi)始出現(xiàn)了，大家有沒(méi)有想過(guò)那批最早從事軟件測(cè)試的人都去哪兒，干什么去了呢？

那時(shí)候軟件測(cè)試還沒(méi)有這么專業(yè)，測(cè)試人員大多什么都需要會(huì)一點(diǎn)兒，做這一行的都是真心喜歡測(cè)試的，鉆研技術(shù)的人也比較多。由于經(jīng)常找BUG，對(duì)軟件的漏洞測(cè)試人員也一清二楚，早期的軟件測(cè)試人員有的做了“黑帽子”，有的做了“白帽子”。而安全測(cè)試員就是由白客發(fā)展而來(lái)的。

使用專用的測(cè)試工具

在具體做安全測(cè)試的時(shí)候我們會(huì)發(fā)現(xiàn)并不是那么容易去模擬惡意用戶的行為。畢竟系統(tǒng)的前端會(huì)給我們很多的屏障。而且惡意用戶可不總都是從系統(tǒng)前門(mén)進(jìn)去的。這時(shí)候，使用一些工具，比如OWASP Zap、Burp suite等是非常有幫助的。我們可以在系統(tǒng)界面上執(zhí)行功能測(cè)試的用例，用這些工具來(lái)獲取http請(qǐng)求，篡改后發(fā)送給后臺(tái)服務(wù)器。有了這些實(shí)用又比較容易上手的工具，就可以執(zhí)行很多惡意用戶的操作場(chǎng)景了。

一般來(lái)說(shuō)，具備以上三點(diǎn)你就可以開(kāi)始進(jìn)行初步安全測(cè)試了。

現(xiàn)在我們可以回到文章開(kāi)始的地方。文章開(kāi)頭的那個(gè)想法在讀完上面的內(nèi)容之后你會(huì)發(fā)現(xiàn)，它是對(duì)又不對(duì)的，很矛盾。確實(shí)由于很多公司不注重安全或者由于成本原因舍棄了安全保障，往后會(huì)需要更多安全測(cè)試員去進(jìn)行安全測(cè)試。但是一個(gè)沒(méi)有安全測(cè)試思考力的安全測(cè)試員他真的能勝任這份工作嗎？

然而現(xiàn)實(shí)是：

一個(gè)安全測(cè)試工程師曾告訴我：他們公司安全測(cè)試崗位和其他崗位的比例為1:500。為什么？因?yàn)榇蠊镜某绦蚨际怯珊芘１频拈_(kāi)發(fā)做出來(lái)的，本身就已經(jīng)有一定的防御能力，漏洞也不多，安全測(cè)試員的工作就是找出可能存在安全隱患的地方然后再由開(kāi)發(fā)補(bǔ)上。一定程度上來(lái)說(shuō)軟件已經(jīng)算是固如金湯了，一個(gè)hacker真想找出漏洞，花費(fèi)的時(shí)間和精力絕對(duì)是要翻倍的。你覺(jué)得一個(gè)公司需要這么多安全測(cè)試工程師嗎？

現(xiàn)在的情況是大公司才需要安全測(cè)試保障程序安全。小公司的想法是只要實(shí)現(xiàn)了用戶需求就萬(wàn)事大吉了，何必花費(fèi)大成本去保障安全呢？

作為惡意用戶，即hacker，他會(huì)花時(shí)間去“黑”一個(gè)小公司？不會(huì)，因?yàn)槟菍?duì)于他來(lái)說(shuō)根本沒(méi)挑戰(zhàn)，也沒(méi)意義。

說(shuō)到這里，我終于可以說(shuō)一句：不推薦大家去做安全測(cè)試。這是建立在上文的分析之后的出的結(jié)論。很多人可能覺(jué)得安全測(cè)試工程師很高大上，薪資也非常可觀。但是你也要看清行業(yè)的現(xiàn)實(shí)狀況，不要一頭霧水就扎進(jìn)安全測(cè)試的圈子，到頭來(lái)芝麻和西瓜都丟了，不值得。

最后也要聲明一下，我絕不是反對(duì)大家做安全測(cè)試。如果你對(duì)安全測(cè)試很感興趣，也有安全測(cè)試工程師需要有的獨(dú)特的思考視角，能夠沉下心來(lái)認(rèn)真學(xué)習(xí)。那我非常推薦你去做安全測(cè)試，因?yàn)槟遣攀沁m合你的工作！那才能證明你的價(jià)值！那才Cool！

那么，你還會(huì)選擇去做安全測(cè)試工程師嗎？

所以說(shuō)，你還會(huì)向安全測(cè)試工程師靠攏嗎？