软件安全测试面试题及答案.docxVIP

软件安全测试面试题及答案

一、基础必考题（考察核心认知，杜绝理论空谈）

1.请说说你理解的软件安全测试，和普通功能测试有什么本质区别？

答案：软件安全测试核心是“找安全漏洞”，重点关注软件是否能抵御恶意攻击、保护数据安全，比如SQL注入、越权访问这些恶意操作，本质是站在“攻击者”角度找问题；而普通功能测试是站在“正常用户”角度，验证功能是否符合需求（比如点击按钮是否正常跳转、输入内容是否正确显示）。简单说，功能测试看“能不能用”，安全测试看“能不能被攻击、数据会不会泄露”。另外安全测试更关注隐蔽性漏洞，很多漏洞不刻意攻击发现不了，而功能测试的问题大多是显性的。

2.软件安全测试的核心目标是什么？实际工作中你会优先关注哪些方面？

答案：核心目标就3个：一是保护用户数据安全（比如账号密码、个人信息、业务数据不泄露、不被篡改）；二是防止软件被恶意利用（比如被注入恶意代码、被攻击瘫痪）；三是符合相关合规要求（比如隐私保护、数据安全法规）。实际工作中，我会优先关注高频场景和高风险模块，比如用户登录认证、支付环节、数据查询/提交接口、权限控制，这些地方最容易出现安全漏洞，也是攻击者最常针对的地方。

3.常见的软件安全漏洞有哪些？举3个你实际测试中遇到过的（或高频出现的），简单说下表现。

答案：常见的有SQL注入、跨站脚本（XSS）、越权访问、密码明文传输、文件上传漏洞、CSRF跨站请求