致测试同仁们：让我们做安全测试吧！(7)

很多人认为执行测试才是测试，而我们的安全测试从这里就开始了。

了解了业务以后，我们需要考虑系统中会有什么有价值的数据。这是为下一步加入恶意用户需求做准备。对于一个网上商城，有价值的数据可以包括产品信息、订单信息、用户信息、支付，等等。

这个环节对我们测试人员来说并没有太多额外的工作，毕竟我们做非安全测试的时候也是需要了解业务。不过要注意了，我们要测试的“图片上传功能”是一个涉及有价值数据的功能。我们需要提高警惕了。

2. 在需求阶段加入恶意用户需求

恶意用户需求是用来记录恶意用户想要在系统中达到的目的。与普通用户需求的区别是，我们不是要去实现它，而是使用它帮来助我们远离对系统使用者“不恰当的信任”。通常我们需要针对每一个合法用户需求来增加一个或多个相对应的恶意用户需求。

举个例子，如果我们这个“图片上传功能”的合法用户需求为：

作为一个买家，我想在对商品进行评价的时候上传图片作为买家秀，以便于参加返现营销活动。

那么对应的恶意用户需求可以是：

作为一个恶意用户，我想破坏买家秀返现活动，以便破坏商城的营销活动。

“破坏买家秀返现活动”是一个大的目标。为了设计用例方便，它可以被细分为一系列小目标。比如：

• 让用户无法上传图片
• 让页面无法正确显示图片
• 等等

有了恶意用户需求的主干信息，我们就可以开始下一步设计安全测试用例了。

原文转自：http://www.infoq.com/cn/articles/to-test-colleagues-let-us-do-a-safety-test