如何学习系统安全性测试

小王最近在51cto(http://bbs.51cto.com/thread-889997-1.html)看到一个帖子，是关于如何学习系统安全性测试的，小王回复了一下，帖子内容如下：有网络功底！做过网络安全，对网络设备 安全设备非常熟悉，精通网络协议 安全协议。！没做过开发。不懂语言脚本！ 现在公司要求做应用系统安全性测试。请问从事这方面的工作员 指点一二！   如果实在不行，我想还是放弃了.. 求指点！！！！！

小王的回复：不清楚楼主是在软件公司还是安全公司，但有网络安全功底，做应用系统安全性测试还是有很大帮助的。我不是专业人士，只能通过自身经历，与大家分享一下我对应用系统安全性测试的看法。

1、应用系统自身安全性，比如防破解。小王单位以前找软件公司开发过一套档案管理系统，每次在安装都需要根据一组生成的字符串，再用注册机生成注册码后才能正常使用，比较麻烦，软件公司也不给注册机，小王只好找到相关开发工具的反编译软件读取这套软件的源代码。原来这套软件的注册码是根据计算机硬盘的序列号，通过一个加密函数生成的，比较简单，知道原理后，小王就些了个小程序，自己生成注册码。如果防破解做的复杂些，不至于这么容易被破解。

2、应用系统要注意在使用过程中不要泄露敏感信息。小王的一位同事在使用一套上级部门下发的一套MIS系统时，遇到一些问题，找小王给看一下，在分析过程中，小王发现需要修改一下数据库中的某表的某字段，数据库在本地，通过odbc连接，需要用户名和密码才可以连接上，小王先把数据库备份了一下，然后删除掉，再运行程序，程序由于无法找到这个数据库文件，就弹出一个odbc连接框，其中就有明文的用户名和星号显示的密码，用星号读取软件就知道了数据库的密码，估计开发这套软件的软件公司都用的是这个密码。小王要说的是，应用系统在使用过程中，会遇到各种各样的操作系统环境，有时某个错误就会泄露出软件的一些敏感信息，开发者需要作好屏蔽错误信息。

3、应用系统是否会对使用者的计算机造成安全隐患。几年前，坊间有传闻，某通讯软件有远程溢出漏洞，攻击者可获得使用者计算机的管理权限。做这类应用系统的安全性测试，对测试者的技术要求很高，尤其是低层方面的。

4、应用系统是否会对相关数据库和数据库服务器产生安全威胁。小王以前写过一篇这方面的文章，题目是：国内多家软件公司产品存在安全隐患，地址：http://www.5iadmin.com/post/332.html，楼主可以看一下。