安全测试工程师入门思维

1、首先安全测试并不遥远，和我们普通测试一样也需要写测试计划和设计测试用例。不管是常规测试还是安全测试，都有一个原则：预防胜于检测。这个比较容易理解，不管是常规测试的缺陷也好，还是安全测试的漏洞也好，如果能预防使它不发生，就省了后期的修复与验证工作。而且很多场景常规测试和安全测试都要做，只是思维角度不同。

3、模拟恶意用户而不是合法用户。恶意用户需求是用来记录恶意用户想要在系统中达到的目的。与普通用户需求的区别是，我们不是要去实现它，而是使用它帮来助我们远离对系统使用者“不恰当的信任”。通常我们需要针对每一个合法用户需求来增加一个或多个相对应的恶意用户需求。

5、参与恶意需求中来。不论是需求人员，测试人员和研发人员都要参与进来，针对每个有安全要求的地方进行恶意用户的头脑风暴，设计测试用例，研发人员设计研发方案，这样比开发完成后测试出来再从新设计要快捷。