安然事务产生的最初阶段，是“黑客”促使我们思虑安然缝隙的风险–常常考虑的是直接风险，一样我们最初的解决编制当然是“头痛医头脚痛医脚”。同时，良多人对黑客的行动感应相当好奇，***欲看油但是生，良多人研究黑客手艺常常就是因为好奇，实际傍边有报复打击能力常常成为衡量一小我手艺程度的“不成文共叫”。本人对这些现象不否定但不撑持也不同意，这类不雅念上的不合的本源常常在于每小我站的角度不合使然。

　　假定你的职责是守护一个产品，确保它可以供给安然的办事给我们的客户，我需要思虑甚么?先看一下，你同意以下不雅点吗?

　　1. 你学着黑客一样在测试环境往报复打击我的产品，发现标题问题当即封住，这是我的首要职责

　　2. 你监听用户行动，发现歹意行动，当即堵住，同时找到歹意用户的报复打击点，找找标题问题，假定有标题问题，封住，这是我工作的首要构成部门

　　3. 你的老板可能会觉得我发现的标题问题越多，申明手艺越好越用功，对产品的安然性越有决定信念

　　4. 你担忧当某一天，我再也没法发现产品的安然标题问题了，是不是是我也就没事儿了，轮到我下岗了

　　假定你同意或根基同意以上不雅点，我感觉你所保护的产品发安然性相当危险，起码你没有足够的来由对你的产品的安然性足够的安心。

　　再看一下以下不雅点，你同意吗?

　　1. 你研究黑客行动，目标是掌控暗藏的安然缝隙的存在情势，以查抄本公司产品是不是有近似标题问题

　　2. 你研究各类常见缝隙，目标是掌控缝隙的产生的本源，以便我系统的总结它的启事，系统化的统一在产品傍边解决它

　　3. 你尽力着试图把各类缝隙的产生的根来历根底因总结到一路，抽象出共性，以使其变陈规范，在产品开辟过程傍边以便法度设计与实现人员只要遵循规范，便可避免诸多暗藏安然标题问题标呈现

　　4. 你研究渗入测试目标不是用测试来发现所有的安然标题问题，而是用来查抄我以上三条是不是需要完美

　　假定你同意或根基同意以上不雅点，起码你所保护的产品的安然性是可控的，可怀抱的，心里是有底的，假定你敢大年夜胆的说你的产品足够安然，那可性度是相当高的。

　　最后，用一个例子来表白为甚么要淡化报复打击过程实现：

　　若何发现XSS缝隙?我一句话就可以说清晰：用一串带有Javascript敏感的字符串来窜改替代HTTP要求头傍边的参数值，不雅察HTTP响应里是不是被返回，假定返回是不是被准确编码(叫转义也行)的过程。

　　如斯说来，发现一个有XSS缝隙的API的XSS标题问题对一个通俗的软件测试人员也并不是难事儿。一个简单的反射式XSS标题问题，可能5分钟便可以肯定，可是，我要夸大年夜一下这个“可是”，这个XSS缝隙若何反变成可操纵的可以实现报复打击的缝隙，这个过程将多是1小时也多是一个月，还有多是1-2年!

　　对我，一个企业的产品安然保护者，解决如许的一个XSS标题问题可能也只需要5-10分钟，假定让我花1小时到2年时候来证实它的操纵价值有多高，请问同业们，你感觉成心义吗?

　　有一个群体的人会答复：成心义! 他们常常长短产品安然保护人员，多是黑客财产链中的人，也多是强烈的黑客手艺的好奇者……，假定不幸的有我们同业在里面，我会感觉很不是滋味，

　　我抱负中的同业们应当是如许的：

　　我有能力成为黑客，可是我不会把时候华侈在“当黑客”这一行当上。