软件测试与渗透测试那个工作有前途

请问软件测试和渗透测试的区别是什么？~

软件测试下的定义是：“使用人工或自动的手段来运行或测定某个软件系统的过程，其目的在于检验它是否满足规定的需求或弄清预期结果与实际结果之间的差别”。软件测试的目的是为了检验软件系统是否满足需求。
渗透测试考虑的是以黑客方法，从单点上找到利用途径，证明你有问题，帮助客户提高认识，也能解决急迫的一些问题。

安全测试、渗透测试、安全渗透测试。。。乍一看到这么多相似的概念，感觉晕晕的。今天主要沉淀一下自己对渗透测试的理解，同时希望对大家也有所帮助。

首先，安全测试是侧重于应用程序所面对对安全威胁而进行的有关验证应用程序的安全服务和识别潜在安全性缺陷的过程。目的并不最终证明应用程序是安全的，而是用于验证存在哪些安全漏洞，来确保应用程序的安全。

渗透测试是以黑客的角度，由企业外部或在企业内部对目标网络环境作深入的安全探测，从外部或内部网络收集系统的相关信息，探查出逻辑性更强、更深层次的漏洞，预先找出企业脆弱的环节。渗透测试的目的不是为了确认功能，而是确认不再存在不安全的功能。渗透测试最简单直接的解释就是：完全站在攻击者角度对目标系统进行的安全性测试过程。

通过对安全测试和渗透测试概念和目的的理解，安全测试和渗透测试的关系是：安全测试包含部分渗透测试。

那如何来理解渗透呢？最开始看到这个词，我就想渗透什么呢？从哪开始渗透？渗透到哪去？我先介绍下渗透（Fuzz）是怎么来的。Fuzz这个名词来自于Professor Barton Miller。在1986年一个风雨交加的夜晚，他登陆一台自己的主机，不知道怎么回事，信号通过猫传到主机上，雷电一闪，把里面的高位变低位，低位至高 位了，结果到了主机以后改变了。Miller 由此想到了利用“crash、break、destroy”的方式来进行软件测试的技术——Fuzz。这个故事让我想到一个有点恐怖的场景，就是毒药从嘴里一直渗透到胃里、心里。。。最后中毒身亡。

接下来，解决前面的三个疑问。从哪里开始渗透呢？——软件及环境中可能发生变化的部分。从安全角度来看，环境、用户输入以及内部数据和逻辑是此类变化可能暴露出安全问题的主要位置。环境包括文件、应用程序、系统资源和应用程序使用的其他本地或网络资源。所有这些都可能成为渗透的入口点。渗透什么呢？——malformed数据。这个数据有可能是一个文件，有可能是一个数据包，有可能是测试表里面的一个项，有可能是临时文件里面的一个东西，总之是malformed这种非正常的数据。渗透到哪里呢？要考虑到应用程序本身执行的流程，考虑case放进去，能够放到多深，逻辑放到多深，就要非常了解应用程序内部结构。渗透测试是一个渐进并且逐步深入的过程。

渗透测试一定是黑盒的吗?很多技术人员对这个问题都存在这个错误的理解。渗透测试不只是要模拟外部黑客的入侵，同时，防止内部人员的有意识（无意识）攻击也是很有必要的。这时，安全测试人员可以被告之包括代码片段来内的有关于系统的一些信息。这时，它就满足灰盒甚至白盒测试。

　　就个人工作而言，我更倾向 软件测试高级工程师。年薪必须的
　　其实渗透测试工程师也不是没前途，你要做到资深级别，年薪就来了
　　但是客观上评价，目前最好的还是软件测试工程师
　　软件测试工程师这个行业有以下特点
　　收入差距极大，有月薪四五千的黑盒测试工程师，也有年薪几十万的资深测试工程师
　　技术差距极大，有只会鼠标点点点的手工测试人员，也有精通程序代码的资深测试人员
　　工作内容差距极大，有人每天点点鼠标，测测XXX信息管理系统，有人测复杂的金融业务，有人写测试工具，有人测服务器、中间件、测socket、测高并发，有人搭建测试平台
　　不同岗位间技术壁垒严重，比如你让一个黑盒手工测试人员去看两个安全测试人员做渗透测试，他很可能完全看不懂这些人在干啥。如果你给一个网站手工/自动化测试人员做一份数据库测试人员的笔试题（考具体数据库的SQL、函数、存储过程），很可能他要交白卷。当然反过来说，要从技术型测试岗位转行去做黑盒手工测试人员是毫无壁垒的，但一般不会有人这么转。。。。
　　入行门槛低，一个其他专业的无关人员通过三个月简单培训，即可掌握普通的黑盒测试方法，成为一名软件测试工程师，拿3-5k薪水

就个人工作而言，我更倾向 软件测试高级工程师。年薪必须的
其实渗透测试工程师也不是没前途，你要做到资深级别，年薪就来了
但是客观上评价，目前最好的还是软件测试工程师
软件测试工程师这个行业有以下特点
收入差距极大，有月薪四五千的黑盒测试工程师，也有年薪几十万的资深测试工程师
技术差距极大，有只会鼠标点点点的手工测试人员，也有精通程序代码的资深测试人员
工作内容差距极大，有人每天点点鼠标，测测XXX信息管理系统，有人测复杂的金融业务，有人写测试工具，有人测服务器、中间件、测socket、测高并发，有人搭建测试平台
不同岗位间技术壁垒严重，比如你让一个黑盒手工测试人员去看两个安全测试人员做渗透测试，他很可能完全看不懂这些人在干啥。如果你给一个网站手工/自动化测试人员做一份数据库测试人员的笔试题（考具体数据库的SQL、函数、存储过程），很可能他要交白卷。当然反过来说，要从技术型测试岗位转行去做黑盒手工测试人员是毫无壁垒的，但一般不会有人这么转。。。。
入行门槛低，一个其他专业的无关人员通过三个月简单培训，即可掌握普通的黑盒测试方法，成为一名软件测试工程师，拿3-5k薪水

软件测试与渗透测试发展前景都非常不错，可以根据自己的情况来选择。

1、测试对象不同

软件测试：主要测试的是程序、数据、文档。

渗透测试：对象主要为网络设备、主机操作系统、数据库系统和应用系统。

2、测试内容不同

软件测试：主要工作内容是验证和确认，发现软件中的缺陷或者不足，然后把发现的问题整理成报告并分析出软件质量的好坏。验证是保证软件正确地实现了一些特定功能的一系列活动;确认是一系列的活动和过程，目的是想证实一个给定的外部环境中软件的逻辑正确性，即保证软件做了你所期望的事情。

渗透测试：主要包括黑盒测试、白盒测试和灰盒测试。主要做的工作有：信息收集、端口扫描、权限提升、远程溢出攻击、Web应用测试、SQL注入攻击、检测页面隐藏字段、跨站攻击、Cookie利用、后门程序检查、第三方软件误配置等。

3、测试原则不同

软件测试：

①测试应该尽早进行;

②软件测试应该由第三方来负责;

③设计测试用例时应考虑到合法的输入和不合法的输入以及各种边界条件;

④应该充分注意测试中的群集现象;

⑤对错误结果要进行一个确认过程;

⑥制定严格的测试计划;

⑦妥善保存测试计划、测试用例、出错统计和最终分析报告。

渗透测试：

①测试验证时间放在业务量最小的时间进行;

②测试执行前确保相关数据进行备份;

③所有测试在执行前和维护人员进行沟通确认;

④在测试过程中出现异常情况时立即停止测试并及时恢复系统;

⑤对原始业务系统进行一个完全的镜像环境，在镜像环境上进行渗透测试。

纠正下误区：你说的资深测试工程师，就是你说的能看懂代码的，那个叫审计。也是安全里的一类，有美国CISP、CISSP的证书，门槛高，也很难。
说半天两个测试都差不多，后期都可以转审计。
不要被他带偏啦

---

全椒县17362475339： 软件测试有前途吗 - ？
主易呋脲： 软件测试行业注重的是经验的积累,所以年龄大了并不会因为脑力体力跟不上而被迫转行,反而会“越老越吃香”.在职业发展上,软件测试岗位也是十分有前途的,积累了一定经验过后,甚至会比软件开发岗位更容易转到产品经理岗位.另外如果专心钻研技术,有了几年经验后就可以从初级测试工程师晋升为中级或高级测试工程师.

全椒县17362475339： 软件测试行业 主要是干什么?前途怎么样? - ？
主易呋脲： 软件测试行业主要分为:web测试、手机测试、游戏测试、自动化测试(又分为功能和性能测试),还有安全性测试!具体要看个人喜欢哪个.前途吗?具体要看自己的发展方向了,自动化测试和安全测试是很好的方向.

全椒县17362475339： 软件测试的前景怎么样? - ？
主易呋脲： 一, 入行相对容易.由于测试人才的相对稀缺,企业招聘难度较大,因此企业在招聘软测人员时,主要看重项目经验、技术能力,而对学历、年龄、性别等要求考虑较少. 二,待遇好、职业寿命长.据调查,软测工程师一般起薪3000~5000元/...

全椒县17362475339： 软件测试这个职位有前途吗??大概薪资是多少?? - ？
主易呋脲： 有,测试其实比起开发来关注的东西更多的方面,它需要的知识面也非常广,对于刚刚进入IT领域的工程师而言,可以有效的提升技术面的广度(你除了会测试以外的还要会开发,因为不会开发你的自动化、性能测试等测试无法进行,当然单元...

全椒县17362475339： 软工,网工,软件测试,究竟学哪个有前途? - ？
主易呋脲： 这3个都很有前途,看你喜欢做哪个了.软工:青春饭,薪水不错;网工:考思科CCIE,前途无量;测试:学习自动化的东西,后期做测试经理,目前这个职位很稀缺.

全椒县17362475339： 30岁去做软件测试有前途吗 - ？
主易呋脲： 30岁做软件测试当然是可以的,不过你有测试经验吗,如果你以前都没有接触过软件测试的话,对测试理论都不太熟悉的话,你要学的东西就比较多了,测试工作还是比较枯燥的,除非你测试游戏,呵呵,累也不算太累,反正一坐就是一天,工资方面各个城市不一样,北京、上海这些城市工资相对高一些,起薪2000-3000元,随着时间的推移,拿个5000,6000没有问题,其他的城市,像我所在的城市,两年工作经验也就刚刚2000元.

全椒县17362475339： 软件测试的待遇和发展前景怎么样 - ？
主易呋脲： 软件测试是不错的工作,而且待遇方面很好,发展的前景很好,所以要早点去面试,面试通过了就可以去工作了!

全椒县17362475339： 软件测试的职业发展 - ？
主易呋脲： 软件测试工程师大致有4个发展方向: 1 、资深软件测试工程师 达到这个水平比较困难,这需要了解很多知识,例如C语言,JAVA语言,数据库,数据结构,软件工程,等等,但是你要在一家公司干3 -- 5年的话,在压力中这些技能你都会掌握...

全椒县17362475339： 有没有谁是做软件测试的?工资和前途? - ？
主易呋脲： 1、软件测试工资相对开发要低一些,而且需要去一些IT行业比较发达的地方像北上广,如果是在一般的城市比如郑州,发展前景不大;我同学在上海做测试工资税前9K2、软件测试也是需要技术的,有专门的测试软件;工资强度与技术含量相对软件开发少一些,总之,能做开发就别干测试

全椒县17362475339： 软件测试工程师的就业前景怎样? - ？
主易呋脲： 1.对于编程能力不高的学生来说是个很好的选择,做黑盒测试根本不用懂编程,白盒测试对编程很高,同时这也和你拿的薪水成正比.所以软件测试是一个门槛很低的行业,但是想做好也不容易. 2.想做好的话需要对软件工程,操作系统,编程有些了解,如果你感觉编程还可以的话最好做开发,大家都知道做开发的比测试的工资高嘛. 3.至于工具各个公司用的工具都不一样,需要你在实践中去学习.目前国内还没有什么权威的认证,正是由于软件测试还是处于发展的初期,所以前景还是很不错的.