致测试同仁们：让我们做安全测试吧！(4)

4. 都需要有探索的过程

测试是一个了解软件系统是否完成我们预期的过程，也是探索系统还有哪些我们没有预期的行为的过程。安全测试的过程需要把探索的目标转向安全漏洞。当我们这么做时，我们同样会得到很多探索的乐趣。

5. 都要有测试人员必备的“怀疑态度”

相信咱们测试人员都非常熟悉一个场景－－开发人员说：“我只做了一个很小的代码改动。”然后我们带着友好而警惕的态度，发现这个“很小的改动”引发了很大的问题。不管是在安全测试还是非安全测试，这个警惕性是我们都需要保持的良好传统。

那么，有了这么多类似的地方，还缺什么呢？如果想要做专家，还差很多。但是如果想马上安全测试上起步，我们可以先做下面的改变。

安全测试的三步曲

第一，转换视角

在我看来，不管是带着全栈的经验，还是只有部分技术知识，想要做好安全测试必须先转换我们观察软件的视角。举个例子，让我们看看下这幅画：

同样一幅画，有人一眼看过去看到的是两个人脸，而有人看到的是一个花瓶。这就是观察的视角不同造成的。

在我刚开始接触安全测试时就很深的体会到了这一点。当时我在测试一个Web应用的用户登录功能。当我输入错误的用户名来试着登陆时，浏览器上的提示信息为“该用户名不存在”。当我尝试正确的用户名而错误的密码时，提示信息变成“密码输入错误。”对于这个清晰的错误提示我非常满意。试想我若是一个真实的终端用户，这个信息有效的帮助我缩小我所要纠错的范围，提高效率，非常好。

原文转自：http://www.infoq.com/cn/articles/to-test-colleagues-let-us-do-a-safety-test