安全测试的基本原则是什么

　　1.培养正确的思维方式

　　只有跳出常规思维定式才能成功执行安全测试。常规测试只需要覆盖目标软件的正常行为，而安全测试人员则要有创造性思维，创造性思维能够帮助我们站在攻击者角度思考各种无法预期的情况，同时能够帮助我们猜测开发人员是如何开发的，如何绕过程序防护逻辑，以某种不安全的行为模式导致程序失效。

　　2.尽早测试和经常测试

　　安全性缺陷和普通Bug没什么区别，越早发现修复成本越低，要做到这一点，较开始的工作就是在软件开发前期对开发和测试团队进行常见安全问题的培训，教他们学会如何检测并修复安全缺陷。虽然新兴的第三方库、工具以及编程语言能够帮助开发人员设计出更安全的程序，但是新的威胁不断出现，开发人员较好能够意识到新产生的安全漏洞对正在开发的软件的影响;测试人员要转变思维方式，从攻击者角度的各个细节测试应用程序，使软件更加安全。

　　3.选择正确的测试工具

　　很多情况下安全测试需要模拟黑客的行为对软件系统发起攻击，以确保软件系统具备稳固的防御能力。模拟黑客行为就要求安全测试人员擅长使用各种工具，如漏洞扫描工具、模拟数据流行为的前后台相关工具、数据包抓取工具等。现在市面上提供了很多安全扫描器或者应用防火墙工具可以自动完成许多日常安全任务，但是这些工具并不是的。作为测试人员，准确了解这些工具能做什么，不能做什么是非常重要的，切不可过分夸大或者不当使用测试工具。