完成了安全测试五步曲的学习,终于在安全测试方面有所起步了。学习到了很多新东西,对XSS、CSRF、文件上传、SQL注入、URL重定向等漏洞、攻击方式及检测方法也有所认识,同期也在项目中进行了安全测试的实施,算是入门了吧。但是入门以后发现,安全测试特别是WEB方面的安全测试,所要学的东西还很多,在培训中,知道了漏洞的现象和攻击方式,但对于具体的攻击原理的分析理解还有待加强,所以兵法有云:知己知彼,百战不殆。
之前一直做的都是功能测试,和安全测试的侧重点很不相同,功能测试注重的是在保证正常流程的同时,尽可能地、更好地进行容错的防范;而安全测试,个人感觉是防范由于网络协议、编码语言等它们本身特性带来的问题,因为在有的时候,我们不得不去用或者只能去用这些协议和不同的语言。所以在今后的学习中,更多地需要侧重这些方面,以不至于变成只是会测试的机器,也渴望能在这个学习的过程中能找到更多的乐趣。
在完成了几个项目的安全测试后,在熟悉了安全测试的基本方式和流程的同时,也感觉到一些目前工作流程中的瓶颈点。在“敏捷”异军突起的同时,越来越多的领域开始尝试这种工作方式。几乎所有的人都渴望能在这种方式中找到资源投入和产出的更佳平衡点。但是“敏捷”对于团队(包括内部所有小团队)的要求是非常高的,它需要在保证基本规范的同时完成任务,而目前我在执行安全测试的时候,在“沟通需求”、“给予相关解决方案”以及“督促BUG修复”中花费了时间是很长的。“给予相关解决方案”需要的自身能力提高,特别是对目前的安全测试框架更深入的理解;“沟通需求”是个大问题,因为PTM不一定在STC上提交所有测试所需要的信息,同时光看CF也不一定能够理解需求,这个时候又需要人力沟通;“督促BUG修复”这个和在做功能测试的时候有些相同的感触,总是有开发是不重视测试的,无论是安全测试还是功能测试,在他们认为有了身份验证保证的时候,往往会忽略掉安全的问题,不重视是因为不了解安全测试,所以难免会存在修复LATER或者是未修复FIXED的问题,而安全测试不是直接和开发团队接触的,感觉有些鞭长莫及。不断完善工作模式,或者寻找新的工作模式都是很必要的。
所以,无论是在更深入地学习安全测试,还是推动“安全”理念,路都很长。