第五十五章 安全測試

　　沒一會，劉麗娜的男朋友陳冬也過來了，大家都是老相識了?；ハ啻蛄苏泻糇聛砭蜏蕚渫媾屏?。

　　升級是國內(nèi)非常盛行的一種 4 人撲克牌游戲，可以選擇一副牌、兩副牌進行。打一副牌時，也稱為“40 分“或“打百分“；打兩副牌時，也稱為“80 分“。達到了相應的分數(shù)就可以升一級或者兩級。

　　從二開始打，一直升級到A為止，也可以繼續(xù)下一圈升級，一直持續(xù)。兩兩分為對家，一家需要吃分，另外一家不讓這邊吃分。

　　如果分數(shù)夠了就換另外一家來打，五十k這三張牌是分牌，五是五分的，其他的是十分。

　　牌還分為主和副牌，每把開始前要叫主牌，王也算是主，并且是最大的主牌。整體類型主牌最大，其他副牌一樣大。

　　一般開始出牌的人出啥花色，其他的人得出一樣的花色，如果沒有可以出主牌或者其他副牌。規(guī)則大家都搞清楚一致了之后就開始了牌局。

　　李飛幾人下午就在劉麗娜家里吃著水果，玩著升級，這一下午的時間也過的很快。等到下午吃飯的時候，大家也懶得出去吃，就決定在家里吃了火鍋。

　　一起去樓下超市買東西，肉卷，丸子，蔬菜，超市也都有。買完東西回去后幾人分別收拾，洗菜切菜，準備其他東西，各司其職。很快就吃上了。

　　吃完了飯，大家?guī)椭粔K收拾了。人多還是快，要是都走了讓劉麗娜一個人不知道得收拾到啥時候。

　　雖然吃完了飯，但是離睡覺時間還早。除了李飛稍微遠點，其他三人都在這個小區(qū)住，于是大家決定再繼續(xù)玩一會。

　　李飛等到玩完后回到家，已經(jīng)很晚了，收拾收拾就準備睡覺了。

　　周日的話沒有什么安排，李飛準備在宿舍學習一下。最近每周末都一堆的事情，周末本來抽空學習相關的知識也沒太多的時間。

　　李飛把準備學習計劃給李彤說了之后，李彤就表示很支持。畢竟誰看到自己對象想進步都肯定支持么。

　　所以兩人就約定，以后周末一天約著一塊玩，一天李飛就自己學習，李彤也可以有自己時間。

　　一方面可以提高自己，另一方面也給了對方一些空間。

　　好久沒有學習了，李飛這天又得先整理下自己的學習計劃了。目的還是實用為主吧，最近項目組在做安全送檢的相關內(nèi)容，李飛最近的重點就是安全測試相關的了，還剛好可以學以致用。

　　安全測試涵蓋的面也比較多，李飛目前對于安全這方面算是小白級別的，所以需要學習的東西就格外的多。

　　最后思來想去，李飛決定從SQL注入開始學習。完了再看實際運用中有啥需要的再抽空學習。

　　SQL注入攻擊是通過操作輸入來修改SQL語句，用以達到執(zhí)行代碼對WEB服務器進行攻擊的方法。簡單的說就是在post/getweb表單、輸入域名或頁面請求的查詢字符串中插入SQL命令，最終使web服務器執(zhí)行惡意命令的過程。

　　在網(wǎng)上搜了一些相關的視頻，一些簡單的原理講解，李飛看了之后感覺也不太難。就特別躍躍欲試的感覺。

　　等到周一上班來了，李飛把學到的東西，在項目的測試試了一下，發(fā)現(xiàn)也沒啥反應。

　　“難道是系統(tǒng)這方面防護做的比較好，所以沒測出來問題?！崩铒w發(fā)出了這樣的疑問。

　　帶著自己的疑問準備去請教下王興了，“興哥，sql注入這塊應該怎么測，我咋感覺在網(wǎng)上看的測不出來啥問題?！?p>　　“這個網(wǎng)上那種特別簡單的注入方式一般都防護了，不會有啥問題。咱們這邊一般需要進行代碼的走讀。

　　主要看咱們的傳參的方式，如果使用的是#，就沒啥問題。但是如果使用$傳參，就容易有sql注入的風險了。這種的話就要進一步檢查是否進行了防護。”王興說道。

　　“哦哦，就說我測試環(huán)境看了下，感覺沒發(fā)現(xiàn)啥?！?p>　　“嗯嗯，sql注入這個一般咱們都是進行白盒測試方便點。當然根據(jù)代碼找出頁面的具體使用點也可以進行測試?！?p>　　“好的，我先看看，白盒測試的話可能得后續(xù)這邊你多給我們講講了，java代碼大家都了解的不太多?！?p>　　“好的，這塊還有安全日志，廢棄接口需要看代碼的，我完了會給大家舉例子讓大家看看怎么去讀代碼，咱們其實不需要了解太深的邏輯，大概能看明白一點就行了?！?p>　　“好，完了咱們組織個會議大家一起學習下?！?p>　　李飛經(jīng)過王興的講解，大概明白了一點，但是也不是特別清楚，但是至少明白了，看到簡單的介紹跟實際用的過程差距還是很大的，還得更進一步的學習。

　　很快這邊開會給說安全這邊有幾個簡單的東西搞差不多了，可以開始接入測試了。

　　最開始可以測試的是廢棄接口刪除，還有安全審計日志的東西。安全的這些東西其實都得看開發(fā)做的策略，才能制定對應的測試策略。

　　所以首先就是對應的開發(fā)，拉著大家一起開會把相關的內(nèi)容講一下，怎么去做的這些的相關內(nèi)容。

　　先說廢棄接口刪除，這個其實就比較簡單，后端開發(fā)把系統(tǒng)所以的接口整理出來，前端再看實際中有沒有調(diào)用相關的接口，根據(jù)排查的結(jié)果再看是否需要刪除。

　　對應的測試策略也就制定出來了，首先根據(jù)前端整理的功能點，測試這邊再排查一遍是否還有已經(jīng)廢棄的業(yè)務，整體業(yè)務廢棄，那對應的接口也就需要刪除了。

　　按照制定的策略，李飛三人把開發(fā)整理出來的接口分了一下，按照王興給講的怎么去查代碼。檢查對應接口是否刪除，對應的服務層是不是還有其他調(diào)用，如果沒有的話，也應該對應刪除。

　　然后排查出來的業(yè)務上已經(jīng)不再使用的功能，跟大家討論確定一下，確實不需要了再聯(lián)系對應開發(fā)刪除。

　　整體來說廢棄接口刪除的測試還比較簡單，安全日志審計就涉及的多了。