為什么要做安全測試

做安全測試原因如下：

• 安全：一個產品一個網站最需要加強安全防范的就是數據庫。那么如果缺少了安全性測試，在高手的sql盲注下，你的數據庫就會逐步展現在黑客的面前，無論是數據庫類型、表結構、字段名或是詳細的用戶信息，都有無數種手段可以讓人“一覽無余”。

• 權限：網站一般都規定了什么樣的用戶可以做什么事。比如版主可以修改所有人的帖子，而你普通用戶只能編輯自己的帖子，同樣游客只能看大家的帖子。這就是簡單的權限。如果少了安全性保證，那么就容易有人跳出權限做他不該做的事情。

• 修改提交數據信息：比如一個支付商城，如果通過抓包抓到的提交價格，經過修改再發包可以通過。簡單來說就是本來100塊錢買的東西，抓包修改為1塊就能成功購買。這就成為了一個巨大的隱患。

• 類似跨站腳本的安全隱患：HTML注入，所有HTML注入范例只是注入一個JavaScript彈出式的警告框：alert(1)。做壞事，如果您覺得警告框還不夠刺激，當受害者點擊了一個被注入了HTML代碼的頁面鏈接時攻擊者能作的各種的惡意事情。誘捕受害者，可能會redirect到另一個釣魚網站之類的，使其蒙受損失。

• 檢查應用程序對非法侵入的防范能力：根據安全指標不同測試策略也不同，如果遵循相同的原則，去證明軟件的安全性，將有利于軟件安全測試的工作規范的進行，有利于軟件安全測試工作的發展。

回答所涉及的環境：聯想天逸510S、Windows 10。