致测试同仁们：让我们做安全测试吧！

今天，很多软件并没有经过专门的安全测试便运行在互联网上，它们携带着各类安全漏洞直接暴露在公众面前，其中一些漏洞甚至直指软件所承载的核心敏感信息或业务逻辑。这些漏洞一旦被不怀好意者利用，很可能会给企业造成经济损失，带来负面声誉影响的同时，还可能被起诉遭到罚款等等，细思极恐。其中的一部分原因是企业本身安全意识不强，但是很多时候虽然软件企业已经开始意识到这些问题，却苦于缺少专业的安全测试人员，他们不得不冒着极大的风险先上线赌一把运气再说。

既然如此，我们测试人员作为质量代言人怎能对此置之不理呢？

你也许会抱怨，安全测试水太深了，不知道从何下手。

安全测试并不遥远

是的，安全测试在软件测试里面是一个很特别的科目（或作“工种”），每次一碰到这个科目，很多人都觉得这个科目应该全权交给神秘的安全测试人员来管。这一个观念导致很多测试人员徘徊在安全测试的门口却迟迟不进去，包括我自己。

直到后来，我非常有幸能够在不同规模的软件开发项目上跟“神秘的安全测试人员”学习如何进行安全测试，发现“神秘的安全测试人员”不光是名字跟我们一样都有“测试”二字，所做的事情在本质上也是跟我们测试人员有很多相通。

想想看我们都做过什么：

我们修改过url的参数，对不对？他们也是！

我们在数据输入处提供过不合法的数据，对不对？他们也是！

我们尝试过修改只读数据，对不对？他们也是！

我们也测过用户会话是否如期timeout，对不对？他们也是！

Ok，这还不是全部。知道吗？他们也做测试计划、测试用例设计、bug分析与管理等等。所以，安全测试离我们并没有那么遥远。

原文转自：http://www.infoq.com/cn/articles/to-test-colleagues-let-us-do-a-safety-test