小王最近在51cto(http://bbs.51cto.com/thread-889997-1.html)看到一个帖子,是关于如何学习系统安全性测试的,小王回复了一下,帖子内容如下:有网络功底!做过网络安全,对网络设备 安全设备非常熟悉,精通网络协议 安全协议。!没做过开发。不懂语言脚本! 现在公司要求做应用系统安全性测试。请问从事这方面的工作员 指点一二!   如果实在不行,我想还是放弃了.. 求指点!!!!!

小王的回复:不清楚楼主是在软件公司还是安全公司,但有网络安全功底,做应用系统安全性测试还是有很大帮助的。我不是专业人士,只能通过自身经历,与大家分享一下我对应用系统安全性测试的看法。

1、应用系统自身安全性,比如防破解。小王单位以前找软件公司开发过一套档案管理系统,每次在安装都需要根据一组生成的字符串,再用注册机生成注册码后才能正常使用,比较麻烦,软件公司也不给注册机,小王只好找到相关开发工具的反编译软件读取这套软件的源代码。原来这套软件的注册码是根据计算机硬盘的序列号,通过一个加密函数生成的,比较简单,知道原理后,小王就些了个小程序,自己生成注册码。如果防破解做的复杂些,不至于这么容易被破解。

2、应用系统要注意在使用过程中不要泄露敏感信息。小王的一位同事在使用一套上级部门下发的一套MIS系统时,遇到一些问题,找小王给看一下,在分析过程中,小王发现需要修改一下数据库中的某表的某字段,数据库在本地,通过odbc连接,需要用户名和密码才可以连接上,小王先把数据库备份了一下,然后删除掉,再运行程序,程序由于无法找到这个数据库文件,就弹出一个odbc连接框,其中就有明文的用户名和星号显示的密码,用星号读取软件就知道了数据库的密码,估计开发这套软件的软件公司都用的是这个密码。小王要说的是,应用系统在使用过程中,会遇到各种各样的操作系统环境,有时某个错误就会泄露出软件的一些敏感信息,开发者需要作好屏蔽错误信息。

3、应用系统是否会对使用者的计算机造成安全隐患。几年前,坊间有传闻,某通讯软件有远程溢出漏洞,***者可获得使用者计算机的管理权限。做这类应用系统的安全性测试,对测试者的技术要求很高,尤其是低层方面的。

4、应用系统是否会对相关数据库和数据库服务器产生安全威胁。小王以前写过一篇这方面的文章,题目是:国内多家软件公司产品存在安全隐患,地址:http://www.5iadmin.com/post/332.html,楼主可以看一下。