第五十五章 安全測試

　　沒一會(huì)，劉麗娜的男朋友陳冬也過來了，大家都是老相識(shí)了。互相打了招呼坐下來就準(zhǔn)備玩牌了。

　　升級(jí)是國內(nèi)非常盛行的一種 4 人撲克牌游戲，可以選擇一副牌、兩副牌進(jìn)行。打一副牌時(shí)，也稱為“40 分“或“打百分“；打兩副牌時(shí)，也稱為“80 分“。達(dá)到了相應(yīng)的分?jǐn)?shù)就可以升一級(jí)或者兩級(jí)。

　　從二開始打，一直升級(jí)到A為止，也可以繼續(xù)下一圈升級(jí)，一直持續(xù)。兩兩分為對(duì)家，一家需要吃分，另外一家不讓這邊吃分。

　　如果分?jǐn)?shù)夠了就換另外一家來打，五十k這三張牌是分牌，五是五分的，其他的是十分。

　　牌還分為主和副牌，每把開始前要叫主牌，王也算是主，并且是最大的主牌。整體類型主牌最大，其他副牌一樣大。

　　一般開始出牌的人出啥花色，其他的人得出一樣的花色，如果沒有可以出主牌或者其他副牌。規(guī)則大家都搞清楚一致了之后就開始了牌局。

　　李飛幾人下午就在劉麗娜家里吃著水果，玩著升級(jí)，這一下午的時(shí)間也過的很快。等到下午吃飯的時(shí)候，大家也懶得出去吃，就決定在家里吃了火鍋。

　　一起去樓下超市買東西，肉卷，丸子，蔬菜，超市也都有。買完東西回去后幾人分別收拾，洗菜切菜，準(zhǔn)備其他東西，各司其職。很快就吃上了。

　　吃完了飯，大家?guī)椭粔K收拾了。人多還是快，要是都走了讓劉麗娜一個(gè)人不知道得收拾到啥時(shí)候。

　　雖然吃完了飯，但是離睡覺時(shí)間還早。除了李飛稍微遠(yuǎn)點(diǎn)，其他三人都在這個(gè)小區(qū)住，于是大家決定再繼續(xù)玩一會(huì)。

　　李飛等到玩完后回到家，已經(jīng)很晚了，收拾收拾就準(zhǔn)備睡覺了。

　　周日的話沒有什么安排，李飛準(zhǔn)備在宿舍學(xué)習(xí)一下。最近每周末都一堆的事情，周末本來抽空學(xué)習(xí)相關(guān)的知識(shí)也沒太多的時(shí)間。

　　李飛把準(zhǔn)備學(xué)習(xí)計(jì)劃給李彤說了之后，李彤就表示很支持。畢竟誰看到自己對(duì)象想進(jìn)步都肯定支持么。

　　所以兩人就約定，以后周末一天約著一塊玩，一天李飛就自己學(xué)習(xí)，李彤也可以有自己時(shí)間。

　　一方面可以提高自己，另一方面也給了對(duì)方一些空間。

　　好久沒有學(xué)習(xí)了，李飛這天又得先整理下自己的學(xué)習(xí)計(jì)劃了。目的還是實(shí)用為主吧，最近項(xiàng)目組在做安全送檢的相關(guān)內(nèi)容，李飛最近的重點(diǎn)就是安全測試相關(guān)的了，還剛好可以學(xué)以致用。

　　安全測試涵蓋的面也比較多，李飛目前對(duì)于安全這方面算是小白級(jí)別的，所以需要學(xué)習(xí)的東西就格外的多。

　　最后思來想去，李飛決定從SQL注入開始學(xué)習(xí)。完了再看實(shí)際運(yùn)用中有啥需要的再抽空學(xué)習(xí)。

　　SQL注入攻擊是通過操作輸入來修改SQL語句，用以達(dá)到執(zhí)行代碼對(duì)WEB服務(wù)器進(jìn)行攻擊的方法。簡單的說就是在post/getweb表單、輸入域名或頁面請(qǐng)求的查詢字符串中插入SQL命令，最終使web服務(wù)器執(zhí)行惡意命令的過程。

　　在網(wǎng)上搜了一些相關(guān)的視頻，一些簡單的原理講解，李飛看了之后感覺也不太難。就特別躍躍欲試的感覺。

　　等到周一上班來了，李飛把學(xué)到的東西，在項(xiàng)目的測試試了一下，發(fā)現(xiàn)也沒啥反應(yīng)。

　　“難道是系統(tǒng)這方面防護(hù)做的比較好，所以沒測出來問題?！崩铒w發(fā)出了這樣的疑問。

　　帶著自己的疑問準(zhǔn)備去請(qǐng)教下王興了，“興哥，sql注入這塊應(yīng)該怎么測，我咋感覺在網(wǎng)上看的測不出來啥問題。”

　　“這個(gè)網(wǎng)上那種特別簡單的注入方式一般都防護(hù)了，不會(huì)有啥問題。咱們這邊一般需要進(jìn)行代碼的走讀。

　　主要看咱們的傳參的方式，如果使用的是#，就沒啥問題。但是如果使用$傳參，就容易有sql注入的風(fēng)險(xiǎn)了。這種的話就要進(jìn)一步檢查是否進(jìn)行了防護(hù)。”王興說道。

　　“哦哦，就說我測試環(huán)境看了下，感覺沒發(fā)現(xiàn)啥?！?p>　　“嗯嗯，sql注入這個(gè)一般咱們都是進(jìn)行白盒測試方便點(diǎn)。當(dāng)然根據(jù)代碼找出頁面的具體使用點(diǎn)也可以進(jìn)行測試。”

　　“好的，我先看看，白盒測試的話可能得后續(xù)這邊你多給我們講講了，java代碼大家都了解的不太多。”

　　“好的，這塊還有安全日志，廢棄接口需要看代碼的，我完了會(huì)給大家舉例子讓大家看看怎么去讀代碼，咱們其實(shí)不需要了解太深的邏輯，大概能看明白一點(diǎn)就行了。”

　　“好，完了咱們組織個(gè)會(huì)議大家一起學(xué)習(xí)下?！?p>　　李飛經(jīng)過王興的講解，大概明白了一點(diǎn)，但是也不是特別清楚，但是至少明白了，看到簡單的介紹跟實(shí)際用的過程差距還是很大的，還得更進(jìn)一步的學(xué)習(xí)。

　　很快這邊開會(huì)給說安全這邊有幾個(gè)簡單的東西搞差不多了，可以開始接入測試了。

　　最開始可以測試的是廢棄接口刪除，還有安全審計(jì)日志的東西。安全的這些東西其實(shí)都得看開發(fā)做的策略，才能制定對(duì)應(yīng)的測試策略。

　　所以首先就是對(duì)應(yīng)的開發(fā)，拉著大家一起開會(huì)把相關(guān)的內(nèi)容講一下，怎么去做的這些的相關(guān)內(nèi)容。

　　先說廢棄接口刪除，這個(gè)其實(shí)就比較簡單，后端開發(fā)把系統(tǒng)所以的接口整理出來，前端再看實(shí)際中有沒有調(diào)用相關(guān)的接口，根據(jù)排查的結(jié)果再看是否需要?jiǎng)h除。

　　對(duì)應(yīng)的測試策略也就制定出來了，首先根據(jù)前端整理的功能點(diǎn)，測試這邊再排查一遍是否還有已經(jīng)廢棄的業(yè)務(wù)，整體業(yè)務(wù)廢棄，那對(duì)應(yīng)的接口也就需要?jiǎng)h除了。

　　按照制定的策略，李飛三人把開發(fā)整理出來的接口分了一下，按照王興給講的怎么去查代碼。檢查對(duì)應(yīng)接口是否刪除，對(duì)應(yīng)的服務(wù)層是不是還有其他調(diào)用，如果沒有的話，也應(yīng)該對(duì)應(yīng)刪除。

　　然后排查出來的業(yè)務(wù)上已經(jīng)不再使用的功能，跟大家討論確定一下，確實(shí)不需要了再聯(lián)系對(duì)應(yīng)開發(fā)刪除。

　　整體來說廢棄接口刪除的測試還比較簡單，安全日志審計(jì)就涉及的多了。