在面向终端用户的测试场景上，常规测试的用例与安全测试的用例是非常类似的。比如对于登录系统的功能，不管是常规测试还是安全测试，我们都会测试用户输入正确的用户名是否可以登录，输入错误的用户名或密码系统会如何反应。

　　比如我曾经工作的一个搜集报税人信息的系统，不管是常规测试还是安全测试，都会测试系统的登录，系统信息的录入与编辑，文件的上传等等。因为在每一个终端用户可以操作的场景上，都可能会有安全漏洞存在。所以，有了常规测试的经验，我们就相当于有了不少安全测试用例的储备。

　　4. 都需要有探索的过程

　　测试是一个了解软件系统能否完成我们预期的过程，也是探索系统还有哪些我们没有预期的行为的过程。安全测试的过程需要把探索的目标转向安全漏洞。当我们这么做时，我们同样会得到很多探索的乐趣。

　　5. 都要有测试人员必备的“怀疑态度”

　　相信咱们测试人员都非常熟悉一个场景－－开发人员说：“我只做了一个很小的代码改动。”然后我们带着友好而警惕的态度，发现这个“很小的改动”引发了很大的问题。不管是在安全测试还是非安全测试，这个警惕性是我们都需要保持的良好传统。

　　那么，有了这么多类似的地方，还缺什么呢？如果想要做专家，还差很多。但是如果想马上安全测试上起步，我们可以先做下面的改变。

　　安全测试从何做起第一，转换视角

　　在我看来，不管是带着全栈的经验，还是只有部分技术知识，想要做好安全测试必须先转换我们观察软件的视角。举个例子，让我们看看下这幅画：

　　同样一幅画，有人一眼看过去看到的是两个人脸，而有人看到的是一个花瓶。这就是观察视角的不同造成的。

　　在我刚开始接触安全测试时就很深的体会到了这一点。当时我在测试一个Web应用的用户登录功能。当我输入错误的用户名来试着登陆时，浏览器上的提示信息为“该用户名不存在”。当我尝试正确的用户名而错误的密码时，提示信息变成“密码输入错误。”对于这个清晰的错误提示我非常满意。试想我若是一个真实的终端用户，这个信息有效的帮助我缩小纠错范围，提高效率，非常好。

　　可是，就在我身边坐着的安全测试人员马上跳了出来：“这个提示信息需要改！敏感信息暴露了！”看到我一脸茫然，这位安全测试人员告诉我，通过我们的提示信息，恶意的系统使用者可以推测出哪些用户名已经存在于系统中，然后利用这些用户名可以再进行密码的暴力破解，缩小破解的范围。所以，这个信息虽然为合法用户提供了便利，也为不怀好意的系统使用者提供了便利。而往往这种便利为恶意的系统使用者带来的好处远大于给合法用户带来的好处。

　　这个经历在让我受震动的同时，也使我意识到可能很多安全漏洞之前就摆在我的面前了，我却没有看出来，因为我把它们过滤了。事实证明，在后来经历的不同项目中，当我转换了视角，有些安全漏洞不需要我去找，而是自己跑到我眼前来的。真是得来全不费功夫。

　　第二，改变测试中模拟的对象

　　为了能从不同的视角来观察软件，我们必须改变我们所模拟的对象。这也是一个让我们刻意练习转换视角的有效方法。

　　我们在做非安全测试的时候通常把自己想象成一个合法用户，然后开始验证系统是否能完成预设的目标。比如对于一个网上商城，我们会验证系统是否能让用户完成商品的浏览与购买，我们也会测试一些异常的行为，比如购买的商品数量不是数字而是一串无意义的字母时，看系统是否能比较优雅的做出回应。我们这么测试的目的往往是为了确保用户误操作以后还能够继续他们的购买，或者说不要给系统造成什么严重的伤害。