幾個(gè)月前我還在談?wù)摵诤袦y(cè)試不一定比白盒測(cè)試含量低，現(xiàn)在我卻可以比較肯定地說(shuō)，黑盒測(cè)試比白盒測(cè)試更難，要求更高。道理其實(shí)非常簡(jiǎn)單，黑盒，白盒測(cè)試的本質(zhì)區(qū)別在于源代碼的訪問(wèn)權(quán)利，白盒測(cè)試具有這種權(quán)利，因此也就具有更多的資源和信息進(jìn)行測(cè)試，當(dāng)然事情就會(huì)變得容易很多，而黑盒測(cè)試由于不能看到源代碼，就使得對(duì)于白盒測(cè)試人員發(fā)現(xiàn)的bug，你要花更多的時(shí)間，并且具有更高的技術(shù)才有可能發(fā)現(xiàn)。

　　我做黑盒測(cè)試已經(jīng)4年多了，是一個(gè)地地道道的黑盒測(cè)試人員，可是我具有源代碼訪問(wèn)的權(quán)利，也就是說(shuō)，雖然我是做黑盒測(cè)試的，但是我所擁有的信息并不比白盒測(cè)試人員少。隨著我黑盒測(cè)試經(jīng)驗(yàn)和技術(shù)的提高，我突然發(fā)現(xiàn)我已經(jīng)完全依賴與源代碼提供的信息了，如果沒(méi)有源代碼，我的黑盒測(cè)試的工作將會(huì)變得復(fù)雜很多，困難很多，甚者無(wú)法實(shí)現(xiàn)。這也讓我有了一個(gè)強(qiáng)烈的感覺(jué)，就是黑盒測(cè)試比白盒測(cè)試更難。

　　在Symantec出版的一本書(shū)《TheArtofSoftwareSecurityTest》里邊就有這個(gè)說(shuō)法。這本書(shū)我覺(jué)得一般般，但是里邊體現(xiàn)著這個(gè)道理，就是，“對(duì)于白盒測(cè)試，一個(gè)公司可以組成一個(gè)測(cè)試隊(duì)伍來(lái)進(jìn)行，而對(duì)于黑盒測(cè)試，可能就很少有公司有這個(gè)能力了，只能去外邊聘請(qǐng)專業(yè)的公司來(lái)作，這個(gè)成本是很高的，但是是值得的”。

　　經(jīng)常聽(tīng)到有人抱怨“我在公司是做黑盒測(cè)試的，沒(méi)什么技術(shù)含量，我的目標(biāo)就是轉(zhuǎn)到白盒測(cè)試”，我一直覺(jué)得這個(gè)說(shuō)法是可以質(zhì)疑的，也希望看了我的這篇文章以后，不要再出現(xiàn)這種聲音，更不要再拿它當(dāng)成自己不去提高測(cè)試技術(shù)的一個(gè)冠冕堂皇的借口了。

　　為什么我們大多數(shù)人，包括以前我自己都會(huì)認(rèn)為黑盒測(cè)試比白盒測(cè)試的技術(shù)含量低呢?那是因?yàn)椋�我們絕大多數(shù)人都是在做低端黑盒測(cè)試的。很早以前我就曾想過(guò)，黑客都是通過(guò)黑盒測(cè)試的方法來(lái)尋找安全漏洞的，我們?cè)趺茨苷f(shuō)黑盒測(cè)試技術(shù)含量低呢?隨著自己的水平向黑客的方向接近，自己也越來(lái)越有更深，更豐富的理解和體會(huì)了。

　　如果我們把剛進(jìn)入黑盒測(cè)試領(lǐng)域的新人的技術(shù)打分為0，而黑客的技術(shù)打分為5的話，那么根據(jù)技術(shù)水平我有這樣一個(gè)列表：

　　0.測(cè)試新手

　　1.黑盒手工測(cè)試

　　2.黑盒自動(dòng)化測(cè)試

　　3.具有白盒測(cè)試能力

　　4.安全測(cè)試

　　5.黑客

　　大家注意，很多人把自己的測(cè)試技術(shù)的提高依賴于公司，依賴于team，依賴于project，這是不對(duì)的。我本人在公司的工作內(nèi)容不過(guò)就是黑盒自動(dòng)化測(cè)試，可是這并不影響我可以向更高的方向發(fā)展，現(xiàn)在internet這么發(fā)達(dá)，什么資料不能找到呢?各種各樣的計(jì)算機(jī)書(shū)籍，網(wǎng)上各種各樣的計(jì)算機(jī)技術(shù)交流探討的論壇，博客等等。很多人覺(jué)得跳槽，換個(gè)工作自己就能更好的發(fā)展測(cè)試技術(shù)，這也是有誤區(qū)的。說(shuō)句實(shí)話，個(gè)人發(fā)展本質(zhì)上還是個(gè)人的問(wèn)題，并不是公司的問(wèn)題，或者你的lead，你的manager的問(wèn)題，一個(gè)公司既然要你了，就說(shuō)明你自己的能力和水平跟公司對(duì)你的要求還是比較接近的，公司對(duì)你已經(jīng)有一個(gè)期望值了，也就是說(shuō)你能勝任這份工作了，而再往上的發(fā)展并不屬于公司對(duì)你的期望了，絕大多數(shù)的情況還是要靠個(gè)人的。因此，我個(gè)人認(rèn)為，無(wú)論在任何的工作環(huán)境，工作內(nèi)容的情況，你都是有技術(shù)提高余地的，但是這事情要由你自己來(lái)drive，而不要太多地依賴外部環(huán)境。我從小到大的學(xué)習(xí)，主要是靠自學(xué)，我很少能集中精力地去聽(tīng)完老師的一堂課。包括現(xiàn)在，我很多training都是沒(méi)聽(tīng)完就走人了，或者有些簽個(gè)到就溜。我的這個(gè)性格造就了我很獨(dú)立的學(xué)習(xí)能力，自己為自己規(guī)劃學(xué)習(xí)，不知道對(duì)大家是否有借鑒作用。

　　話說(shuō)回來(lái)，因?yàn)榇蠹覍?duì)0，1，2級(jí)別應(yīng)該都是比較熟悉的，我想談?wù)?，4，5級(jí)別。

　　3.作為一個(gè)黑盒測(cè)試人員，沒(méi)有人會(huì)要求你不具備白盒測(cè)試能力，如果你有源代碼訪問(wèn)的權(quán)利，那很好，你完全可以利用這個(gè)優(yōu)勢(shì)，把通過(guò)查看源代碼得到的信息應(yīng)用到你的黑盒測(cè)試中去。如果你沒(méi)有源代碼訪問(wèn)的能力，這也并不能阻礙你在這個(gè)領(lǐng)域進(jìn)行探索和實(shí)踐。如果你的項(xiàng)目是Java，.NET這種，你可以反編譯，如果你的項(xiàng)目是C,C++這種，你可以反匯編。總而言之，所謂具有白盒測(cè)試能力的意思是，發(fā)現(xiàn)一個(gè)bug能夠定位到代碼里，是什么代碼，為什么產(chǎn)生這個(gè)bug?可以進(jìn)行代碼級(jí)的測(cè)試用例的設(shè)計(jì)。一般來(lái)說(shuō)，這個(gè)級(jí)別的要求是具備良好的代碼讀寫(xiě)的能力。

　　4.安全測(cè)試與白盒測(cè)試的根本區(qū)別在于安全意識(shí)，黑客的思維。有一本書(shū)《WritingSecureCode》里面提到“你可以培訓(xùn)一個(gè)人具有測(cè)試安全feature的能力，你很難培訓(xùn)一個(gè)人具有黑客的思維方式，如果你發(fā)現(xiàn)了這樣一個(gè)人，你就Hire他”。在這個(gè)級(jí)別的人要具有良好的安全意識(shí)，知道各種各樣的攻擊方式，當(dāng)發(fā)現(xiàn)一個(gè)bug的時(shí)候要就有安全方面的判斷，比如“是否一個(gè)安全漏洞”，“是否能夠被黑客利用”，“嚴(yán)重程度如何”，等等。同樣，自己的測(cè)試內(nèi)容里要包含大量的安全測(cè)試用例。