回答。

问题历史

随着网络攻击数量的增长，安全测试的重点得到了加强。即使是手动测试人员，也必须能够发现标准漏洞。

问题

手动测试人员常常认为安全问题只是自动化人员或安全专家的责任。这导致一些基本缺陷被忽视，这对业务是致命的。

解决方案

手动安全测试是试图从普通用户的角度重现潜在攻击：

• 检查 XSS、SQL 注入、CSRF。
• 操作 cookie 和会话。
• 尝试绕过授权和限制权限。

所有发现的问题 必须按照“缺陷报告”的模板进行记录，详细描述步骤、预期结果和实际结果，并注明严重性级别。

关键特点：

• 使用简单的手动技术（改变 URL 中的参数，尝试输入危险值）。
• 检查 OWASP 前 10 的标准漏洞。
• 与 DevOps/后端进行沟通，以确认错误是如何处理的，以及生成了哪些日志。

设问陷阱。

手动方式可以发现应用中的所有关键漏洞吗？

不可以。手动方法能够发现明显的漏洞，但要实现全面覆盖，需要自动化扫描器和渗透测试。

仅检查登录和密码表单是否足够进行安全测试？

不够。需要检查所有功能模块，特别是更改/保存数据的模块、与 API 的交互、文件上传和权限操作。

如果是手动安全测试，测试人员是否需要了解 HTTP 请求和响应？

是的。使用 DevTools、Postman 或 Fiddler 等工具是手动发现安全问题的关键。

常见错误和反模式

• 安全检查仅限于登录和注册。
• 如果未能立即利用漏洞则忽略其风险。
• 未按缺陷报告的标准记录发现的漏洞。

生活中的实例

消极案例

测试人员仅检查了系统登录的 XSS，未测试其他用户表单和 URL 参数。

优点：

• 己方快速完成的第一阶段测试。

缺点：

• 错过了用户档案中的关键漏洞，可以进行 SQL 注入。

积极案例

测试人员逐一检查了所有输入表单，更改请求中的参数，详细地在缺陷报告中描述所发现的问题，并与 DevOps 联系以获取关于错误处理的建议。

优点：

• 发现了不明显的 XSS 和数据访问漏洞。
• 团队充分了解问题。

缺点：

• 该测试花费了更多时间，但提高了质量的信心。