前几天在西湖边和煤老板、咖啡提到某牛的某产品销售使用问题,主要是说某牛的这个产品其实是非常nb的一个东西,但是呢?销售不大而且售后反馈也不杂理想!这个的原因就是这个产品所用的人不会用!!或者说根本就看不明白!
今天在大风的blog文《如何自动化检测DOM based XSS》然后有人回复提到“实际效果”问题,其实这都属于“工具与人”的问题,
工具与人
。我们先看看“工具”的定义:工具是指能够方便人们完成工作的器具。毛爷爷说过:“生产力有两项,一项是人,一项是工具。工具是人创造的。” 虽然现代人工智能让工具有了一点的智能化,但是工具最后还是又人来所用!
我们具体来说说这个安全测试的tool,不管是白盒还是黑盒类的测试工具!它们的“智能”话都是有限的,也就是说判断“漏洞”的能力是有限的!这个能力的体现就在常说的漏洞的误报率与漏报率了。而对“误报率”与“漏报率”的追求有时候又是相悖的。这个时候对于你产品的设计,取决于所用者的“需求”。如果使用者是甲方,他们的产品线很长,在如sdl的过程里,需要自动测试下比较简单的漏洞类型,那么产品设计趋向于减少“简单漏洞类型”的“误报率”,那么你的产品必然漏洞的“漏报率”高了,从所用者的角度那说那就不需要太多的“水平”要求了[因为tool已经给判断了],
电脑资料
《工具与人》(https://www.unjs.com)。对于乙方,有单位或者个人之需要找到可以利用的漏洞,对于时间效率因素没太多追求,那他产品设计尽可能的加强“撒网”了,也就是说减少对漏洞的“漏报率”,那么从所用者的角度来讲,需要的“水平”要求就高了[因为最后的漏洞判断在于人]。当然上面提到的“甲方”和“乙方”的需求不是绝对的,只是作个比方而已。所以“需求”决定一切,包括测试产品的设计开发,以及所用者的要求!!
正是上面的问题,很多甲方公司发现个问题,那就是市场上那些商业、免费的测试工具,在自己的环境里根本根本就没有啥子效果!于是大的公司选择自己开发...
另外甲方公司开发的东西,也不应该是一成不变的,也要根本你的“需求”来变化,这个需求还包括你的具体的应用不同而不同。而这个“变化”也包括对于你的测试工具的设计方式,比如fuzzer,如果全世界的用同一个设计,那就不需要那么多人去跑了!:)
Tool的设计思想很重要!