作为测试,怎么样才能确切知道程序哪有风险呢?
2016-10-17 21:32
253 查看
Jeffery Payne said: "Testers are good at figuring out at which points an application may be at risk, Where are the crown jewels hidden
and what path will an attacker take to reach them?"
作为一个测试人员,如何清楚了解到程序哪个地方会有风险,漏洞隐藏在哪?很多时候感觉自己并没有确切知道漏洞在哪?
该从哪几个方面入手呢,纯属个人思考,不知道对不对以及如何做,在探索的路上。。。
1、For What: 理解清楚他们想要的是什么--该功能对于外挂的吸引点在哪?也可以说是那些开发外挂想要的是什么?
2、How to: 弄清楚有哪些途径可以获得他们想要的?
3、Should do what: 如何避免发生悲剧?
4、经验之谈:
诸如空值、跨日更新、数据溢出(经常发包发送负数),短时间快速点击(后端没有验证数量或多次结算)
and what path will an attacker take to reach them?"
作为一个测试人员,如何清楚了解到程序哪个地方会有风险,漏洞隐藏在哪?很多时候感觉自己并没有确切知道漏洞在哪?
该从哪几个方面入手呢,纯属个人思考,不知道对不对以及如何做,在探索的路上。。。
1、For What: 理解清楚他们想要的是什么--该功能对于外挂的吸引点在哪?也可以说是那些开发外挂想要的是什么?
2、How to: 弄清楚有哪些途径可以获得他们想要的?
3、Should do what: 如何避免发生悲剧?
4、经验之谈:
诸如空值、跨日更新、数据溢出(经常发包发送负数),短时间快速点击(后端没有验证数量或多次结算)
相关文章推荐
- 评“程序员怎么样才能保证自己的程序没有BUG”
- 程序员怎么样才能保证自己的程序没有BUG
- 是否我在市场买到的手机需要经过什末测试,才能用AppLoader将我开发的程序上载到手机上运行?如果是的话,我的手机怎末通过这个测试?
- 你知道怎么样排序才能做到多快好省?
- 在Linux中#!/usr/bin/python之后把后面的代码当成程序来执行。 但是在windows中用IDLE编程的话#后面的都是注释,之后的代码都被当成文本了。 该怎么样才能解决这个问题呢?
- 程序员怎么样才能保证自己的程序没有BUG
- 怎么样才能使32位的程序在64位的计算机上运行?
- 一个新加入的程序“猿”,怎么样才能让自己爱上这个行业
- 说实话,写了这么多程序了,还从来没有用JUnit作为单元测试工具测试过,今天就来学习一下
- 不知道大家用什么工具对Web程序进行不同版本的IE测试,向大家介绍一个工具,感觉还不错也许大家早就知道
- C语言的程序要怎么样才能运行的
- linux 系统服务/程序 启动运行 怎么样才能自动运行
- 怎么样测试程序运行所需时间
- 程序员怎么样才能保证自己的程序没有BUG?(转自:CSDN)
- 在linux程序里面,知道一个函数地址,改函数是属于某个动态库的,怎么样得到这个动态库的全路径名(转)
- 不知道大家用什么工具对Web程序进行不同版本的IE测试,向大家介绍一个工具,感觉还不错也许大家早就知道
- 在MAC系统里添加开机启动任务(但是怎么才能知道自己程序的固定位置呢?)
- 说实话,写了这么多程序了,还从来没有用JUnit作为单元测试工具测试过,今天就来学习一下
- 利用黑盒测试中的等价类划分完成以下题目 3、某程序规定:"输入三个非0正整数 a 、 b 、 c 分别作为三边的边长构成三角形(暂不考虑特殊三角形的情况)。请根据给出的说明,用等价类划分法进行划分,并给每个等价类规定唯一的编号。
- 程序员怎么样才能保证自己的程序没有BUG