• 0
  • 1
分享

1、最近在纠结于做测试开发的语言,请问一下用Java比较合适还是python比较合适?

这个问题一直是我们测试人员争论不休的话题之一,python好还是java好,我在上一次专家门诊时候有提到,我们去做测试开发,去做自动化测试,在这两种语言上本身是差不多的,没有特殊的偏好。但是如果说我们切合今天的题目,目标是全栈测试工程师,那么我要说,由于开发人员更多的使用java,所以为了后续能更好的进行白盒测试、进行工具开发、进行jmeter等性能工具二次开发,选用java似乎是一个更好的选择。当然,代码结构本身是举一反三的,java学会了,python还会远么?


2、如何在一个没有安全测试的团队开展安全测试?

谈到从无到有,最重要的就是无的阶段。首先要让公司、开发部分认识到安全对于一个系统的价值,例如我们抓一个XSS漏洞,截获到用户的cookie;或者我们从服务器端日志分析出系统曾遭受了哪些安全攻击,并对此进行针对性建议。将这些问题在部门会议、冲刺 (sprint) 计划会议等重要会议上提出,很快就可以被接受,因为当前安全问题的确是重大问题,如果你有这个能力,公司自然愿意放手让你去做。

其次再说安全团队的建设,其实和其他测试团队一样,我们需要不同技术能力、不同特色的人组成一支精锐部队,来应对安全难题。大体上可以分为先验团队和监控团队。先验团队中包括系统安全架构设计(安全分析、策略设计)、安全用例设计、安全测试执行等角色;监控团队则更多对服务器日志、蜜罐日志、服务器状况进行监控。当然,小型团队中一人可兼任多职位。

综合以上几点,加上适当的安全技能培训、学习、深化,整个安全测试就可以逐步在项目中推行起来了。


3、如何开展安全测试工作,在哪个时间点开展效果好?

主要也是怎么由零出发,开始推行安全,这方面可以参考上一楼的回复;至于开展的时间点,通常情况下安全测试的规划是在代码设计阶段后就介入,这有点类似于我们的功能测试,但是正是开始进行测试,则是在功能测试、自动化测试结束后,性能测试开始前进行。具体的原因呢,说起来可能还要蛮久的,我在51testing上有一个课程,Web安全攻防学习宝典,链接中试听部分就有一定的讲解。


4、安全测试用哪些测试工具?

工具方面嘛,分两个方面,手工测试工具主要包含burpsuite、websacrab、sqlmap等,当然不同工具会有不同场景的应用;自动化审计工具主要是appscan和webinspect。


5、安全测试要关注哪些方面?

这个问题有点大,从web安全的角度来说,我们重点关注bs架构下,通过客户端、网站能够利用的安全漏洞,主要包括绕过啊、验证机制漏洞啊、会话管理漏洞啊、sql注入、xss、csrf等等。


6、安全测试的原理是什么?

安全测试的原理这个就太大了。。。估计打上整整一页都没办法说清楚,我在Web安全攻防学习宝典这个课程里把所有安全漏洞按照具体的分类一一从原理、攻击手段、测试方法、防范措施进行了讲解,希望能够对你有所帮助。


7、为什么要做安全测试?

这个问题似乎放在第一个更好一点,安全问题在互联网时代的背景下越来越突出,影响也越来越大。举个例子,一个小小的sql注入会导致一家公司损失上亿的客户数据、几百亿的交易甚至更大的隐患,安全漏洞已经超过了我们功能方面问题,你想一下,如果一个网站的数据库、代码、资料的安全性都无法保证,那么被攻击者劫持后会产生多大的影响?所以安全问题的排查和安全测试也就势在必行了。


8、目前做的项目中web应用、ios和Android前端应用、主机和数据库都覆盖了,对web安全和前端应用安全较为全面。但是目前挖掘的不深,只能对一些简单的漏洞进行利用,同时缺乏代码能力,可能也快遇到瓶颈,请问专家,如何尽快提升?各个击破,可有相关的学习资料分享?

安全测试本身就是一个由浅入深的过程,从一个新手变成一个“老司机”,需要更多实践和摸索。想要成为一个出色的白帽子,代码能力也是必备的技能之一,也是初级中级安全测试工程师到高级安全专家的必须品。建议你在全面了解所有漏洞原理、攻击手法的基础之上,再进一步研究其他论坛中关于安全漏洞的细节解析,同时提升自己的代码能力,多做一些代码的白盒审计,来发现更多问题~~


9、大神我现在主要负责公司的测试管理,手下有5个人。公司还是对测试不是很重视,但是我深知也是我们的团队技术不给力。目前我感觉自己最大的瓶颈就是不会一门编程。我想利用三四个月脱产学习一门编程语言,希望大侠能给建议。

首先来说,对测试不够重视这点在绝大多数公司都存在,如果想改变这种地位,只有真正体现出自己的专业度和能力。我比较喜欢说的一句话哈,叫做测试的最高境界是什么,是教开发人员写代码。知易行难,一定要向着这个方向发展,这也是为什么我认为全栈测试工程师在未来会占据很重要的地位的原因,当你能看懂开发人员的代码甚至可以对代码里的问题作出正确回应、能够找出安全漏洞和性能瓶颈、能够写出一套属于自己的平台来实现测试自动化,那么你的能力自然不必说,也不会有人对测试不够重视了。脱产学习有脱产的好处,也有其劣势,我一向认为“学而时习之”才是好方法,也就是边学还要边做,而且是真正有压力的做,自己练习的效果永远不及项目上的压力来的好。当然,这是我的意见哈~


10、我是负责功能测试的,我想慢慢学习性能测试,应该如何学习性能测试,希望能够给提点意见

很多同学都是从功能向性能转型,也很多同学通过一款工具开始进行性能测试的探索。总结起来,可以这么简单归纳,了解相应协议、学习一些语言基础(LR主要是c,jmeter主要是java)、从vugen、controller、monitor三个维度学习工具使用、再深入分析高级应用、性能调优等。


11、本人从软件测试工程师 转向安全测试,工作年限5年多,做安全测试已经2年多,如何向安全工程师转型?

其实所谓安全测试到安全工程师的转型有两方面,一是从安全的问题探索向漏洞的防御转型,从事后向事前,从后验到先验。二是从常见漏洞类型向各种0day漏洞的发展。其实说穿了还是从测试维度向QA、QC维度的变化~我的建议是从测试思路跳出来,多关注代码,关注逻辑,多做白盒,关注0day等~


12、做软件测试4年了,但是在郑州这个测试不流行的行业还是有点困难的,之前搞过自动化测试和QTP测试,但是目前的公司完全不需要,好迷茫求大神指点~

其实让我们努力去学习技术的方式呢,有两种:

一种是公司、企业或者行业内需求较多,为了更好的职业发展和薪水而奋斗;

二种是当我们的地理位置或者行业内需求较少,那么同样为了更好的职位发展而奋斗,更主要的是在当前环境下你可以自主去推行一些自动化、性能,由于地区的限制,反而可能会让你的推行不会遇到太多阻力,得到更多的实践机会。


版权声明:本文出自51Testing会员投稿,51Testing软件测试网及相关内容提供者拥有内容的全部版权,未经明确的书面许可,任何人或单位不得对本网站内容复制、转载或进行镜像,否则将追究法律责任。

  • 【留下美好印记】
    赞赏支持
登录 后发表评论
+ 关注

热门文章

    最新讲堂

      • 推荐阅读
      • 换一换
          •   苹果和Google在韩国的业务因违反收集位置数据的法律而被罚款,但目前尚不清楚苹果被罚的原因。苹果公司因未经用户同意收集其位置数据,被韩国通信委员会(KCC)勒令支付 2.1 亿韩元(约合 15.3 万美元)的罚款。该行为违反了有关披露位置数据政策等条款。  韩国通信委员会还命令Google为类似的违规行为支付较轻的罚款,金额为 300 万韩元,约合 2179 美元。  Google和苹果公司也不是唯一受到小额罚款影响的公司。据《韩国时报》报道,该委员会对包括Google和苹果韩国分公司在内的 188 家公司处以罚款,原因是它们违反了《位置信息保护和使用法》。  KCC 主席 Kim Ho...
            0 0 635
            分享
          •   Twitter公司的前身 Twitter 正准备对其算法进行一次"重大更新"。马斯克说,目前该应用的"For You"推送会显示来自其更广泛网络的热门和趋势帖子,以及你关注的人的精彩内容,而新算法将显示来自相对影响力不那么大的一般账户的帖子。  他指出,这些帖子和账户将包括用户"好友和关注"网络之外的账户,这意味着这一变化将试图让用户接触到他们可能觉得有趣但尚未发现的新账户。这也将使小型创作者有机会被更多人发现,这也符合马斯克将 X 打造成一个创作者平台的计划。  在过去的几个月里,X 平台针对创作者推出了一些功能,比如支持长篇文...
            0 0 325
            分享
          •   填一份51Testing行业调查问卷吧?内含2019-2022年的技术趋势和热点。点击下方链接,不仅能帮助你更了解测试行业,还能免费获得实战课程~链接:http://vote.51testing.com/  性能测试往往在投产上线前开展,无法对整个系统变更进行全面的覆盖测试,因此性能测试需求提出十分关键。性能测试需求交付过程中,需要对开发团队提出的测试需求进行审查,重点分析交付的测试需求是否充分覆盖了影响系统性能的因素,避免遗漏重要测试项,引发生产性能事件。  在很多企业中,性能测试需求交付都设置有需求评审环节,需求审查的动作也会包含系统变更影响性分析,其中最关键的分析内容就是梳理影响系统...
            0 0 1034
            分享
          • 1.核心机制1.1.疑问:作用域有哪些?全局作用域的范围仅限于单个文件。在python中格式没有一个基于单个的、无所不包的情景文件的全局作用域。1.2.疑问:如何定义作用域?Def/class/lambda三种方式1.3.疑问:作用域的基本法则?LEGB法则L:本地作用域;E:上层结构中的本地作用域;G:全局作用域;B:内置作用域;法则描述:变量名引用分为四个作用域进行查找:LEGB,第一个能够完成查找的就算成功;默认状态下,变量名赋值会创建或者改变本地变量;全局声明将赋值变量名映射到模块文件内部的作用域;需要讲的就这么多^_^接下来,希望大家能自己慢慢去体会“引用”和“赋值”之间的区别,那将...
            13 13 1673
            分享
          •   Twitch 正尝试推出类似抖音的视频浏览方式,该公司正在测试一种名为“发现”(discovery)的功能,可以让用户在垂直滚动的视频流中浏览 Twitch 创作者的视频片段。  该功能将于周二开始向“部分用户”推出,Twitch 在 X 上发表了一篇文章介绍了这一功能。目前,“发现”功能只会显示水平方向的视频片段,Twitch 表示用户将在“功能发展”后看到垂直方向的视频片段。“发现”功能目前包括“精选”(featured)和“热门”(popular)两种类型的视频片段,创作者可以标记他们想要加入“精选”池的视频片段。  IT之家注意到,此前 Spotify、Amazon 和 Reddi...
            0 0 946
            分享
      • 51testing软件测试圈微信