入门安全测试需要知道什么？需要掌握哪些知识？

提到安全测试，你需要对你的对手——heike有一定的了解，以往我们一般停留在web端的安全测试，服务器防火墙等等方面，这都是由于黑客的攻击历史、攻击方式等的引导。现在在这一部分出现了较大的变化，随着互联网的高速发展，项目的复杂性、各种微服务、接口的调用，乃至智能硬件的加入，软件模块和硬件服务的交互等都是需要安全测试的。

安全测试是一个难而艰的任务，涉及的技术实在太过宽泛，但是却是一门备受关注的技术，单个的网站而言每天都会面对一大堆的攻击脚本，这都受到行业的驱使，属于必须的操作流程。提供一个入门的流程，归根到底安全测试仍然是属于软件测试行业的，所以学习的路径大致差不太多。

1. 掌握更多的软件基本知识。例如http协议、http状态码、数据库操作、中间件、服务器、linux、python等基础知识。
2. 学习了解安全漏洞的原理。各种注入、跨站、绕过等等黑客技术的原理和实现。
3. 学习安全漏洞的测试方法。基于原理，了解学习最简单有效的安全漏洞测试方法，可以结合使用部分半自动化工具等，白盒做安全规则检查，像parasoft的xtest中的OWASP规则，SOAtest的接口安全测试等。
4. 了解安全漏洞的防范知识。安全人员要知其然，还要知其所以然，不仅要知道如何去测，还要知道如何去改。教开发改代码，这才是你应该到达的境界。
5. 学会监控。学会面对和甄别各种攻击脚本的思路，从而采取合理的方式去规避攻击。

总的来说，安全测试也逐渐成为了很多企业重视的必要流程，而在这一行需要的人才也是很多的，入门往往是简单的，但是能真的做好安全测试还需要不断的与时俱进，学习大量的新技术、新方法。