如何學習系統安全性測試

小王最近在51cto(http://bbs.51cto.com/thread-889997-1.html)看到一個文章，是關于如何學習系統安全性測試的，小王回複了一下，文章内容如下：有網絡功底！做過網絡安全，對網絡裝置 安全裝置非常熟悉，精通網絡協定 安全協定。！沒做過開發。不懂語言腳本！ 現在公司要求做應用系統安全性測試。請問從事這方面的工作員 指點一二！   如果實在不行，我想還是放棄了.. 求指點！！！！！

小王的回複：不清楚樓主是在軟體公司還是安全公司，但有網絡安全功底，做應用系統安全性測試還是有很大幫助的。我不是專業人士，隻能通過自身經曆，與大家分享一下我對應用系統安全性測試的看法。

1、應用系統自身安全性，比如防破解。小王機關以前找軟體公司開發過一套檔案管理系統，每次在安裝都需要根據一組生成的字元串，再用注冊機生成注冊碼後才能正常使用，比較麻煩，軟體公司也不給注冊機，小王隻好找到相關開發工具的反編譯軟體讀取這套軟體的源代碼。原來這套軟體的注冊碼是根據計算機硬碟的序列号，通過一個加密函數生成的，比較簡單，知道原理後，小王就些了個小程式，自己生成注冊碼。如果防破解做的複雜些，不至于這麼容易被破解。

2、應用系統要注意在使用過程中不要洩露敏感資訊。小王的一位同僚在使用一套上級部門下發的一套MIS系統時，遇到一些問題，找小王給看一下，在分析過程中，小王發現需要修改一下資料庫中的某表的某字段，資料庫在本地，通過odbc連接配接，需要使用者名和密碼才可以連接配接上，小王先把資料庫備份了一下，然後删除掉，再運作程式，程式由于無法找到這個資料庫檔案，就彈出一個odbc連接配接框，其中就有明文的使用者名和星号顯示的密碼，用星号讀取軟體就知道了資料庫的密碼，估計開發這套軟體的軟體公司都用的是這個密碼。小王要說的是，應用系統在使用過程中，會遇到各種各樣的作業系統環境，有時某個錯誤就會洩露出軟體的一些敏感資訊，開發者需要作好屏蔽錯誤資訊。

3、應用系統是否會對使用者的計算機造成安全隐患。幾年前，坊間有傳聞，某通訊軟體有遠端溢出漏洞，***者可獲得使用者計算機的管理權限。做這類應用系統的安全性測試，對測試者的技術要求很高，尤其是低層方面的。

4、應用系統是否會對相關資料庫和資料庫伺服器産生安全威脅。小王以前寫過一篇這方面的文章，題目是：國内多家軟體公司産品存在安全隐患，位址：http://www.5iadmin.com/post/332.html，樓主可以看一下。