Chinaunix首页 | 论坛 | 博客
  • 博客访问: 22653
  • 博文数量: 2
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 26
  • 用 户 组: 普通用户
  • 注册时间: 2013-04-25 15:40
文章分类
文章存档

2013年(2)

我的朋友

分类: 信息化

2013-12-16 13:06:02

    说道测试,给大部分人的印象是:添添数据,点点保存,出现错误提示就提出BUG。周而复始的简单机械劳动而已..
本来我也是这么认为的,也觉得测试不是什么技术工种,在我面试的公司中,给我测试的职位的都被我婉言拒绝了..当我真正进入公司工作之后,本来是作为数据库管理员的,也偶尔配合部门的同事们进行一下代码测试.这时候发现,测试也并不简单..至少也需要了解一下业务流程吧.当然这算是基本要求了..
    在多次接触测试这个工作之后发现,这里面也是有不少值得我们去学习的. 从简单的填数据测BUG ,到后期的性能测试, 数据库压力测试等等都是属于测试的工作范围. 进而,我想既然有工作上的需求就弄本书看看吧..至少了解一下其中的思想.
    经常逛逛it文库,突然看见了这么本书《模糊测试——强制发掘安全漏洞的利器》,首先给我的疑问是:模糊测试真的能发掘安全的漏洞?他是怎么做到的?带着这个疑问就开始了我的试读学习.开篇提到了“随着软件安全性问题变得越来越关键,传统的仅由组织内的少数安全专家负责安全的模式正受到越来越多的挑战。”话说的没错儿, 前一阵子腾讯不也出现了安全漏洞导致了大量的用户数据泄露么?还有早些的CSDN 之类的网站都出现过类似的问题。貌似这些安全漏洞不是那么容易就发现的吧...
    作者使用了"模糊测试"这个关键词, 给我的第一印象就是: 测试使用的数据不是完整的,或许利用了一些"*"," "之类的代替了汉字,数字吧。带着这个疑问开始了2.1 的学习. 得到的答案是: "通过向应用提供非预期的输入并监控输出中的异常来发现软件中的故障(faults)的方法". 看来我的理解偏差不大..并且,作者用更通俗的例子解释了一下什么是"模糊测试".
    之后, 作者给出了标准的模糊测试的工作流程,
        【1】确定测试目标
        【2】确定输入向量
        【3】生成模糊测试数据
        【4】执行模糊测试数据
        【5】监视异常
        【6】判定发现的漏洞是否可能被利用
其中,我最关心的是"生成模糊测试数据",这个是如何生成的?又提出了我的疑问...
    最后,作者客观的说明了一下什么样的漏洞不适用于"模糊测试".
        【1】访问控制漏洞
        【2】糟糕的设计逻辑
        【3】后门
        【4】破坏
        【5】多阶段安全漏洞
到最后并没找到我关心的问题,希望能在得到完整版之后再次补充....
阅读(2259) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~