接下来我们来看看今年软件测试行业的现状。今年，除了基本的功能测试，企业还需要测试人员掌握接口测试、搭建测试环境、自动化测试等技能，从初级测试到各种自动化测试、性能测试、全栈测试再到安全测试、渗透测试，每个岗位的要求和待遇水平都有所不同，因此，如果你想进入软件测试行业并愿意学习这些技能，那么你成功转行的机会是很大的，但是，如果你只是想在这个行业中获得更高的薪资，想轻松赚钱，那么这已经不太可能了。

要做网站渗透测试，首先我们要明白以下几点：1、什么叫渗透测试？渗透测试最简单直接的解释就是：完全站在攻击者角度对目标系统进行的安全性测试过程。2、进行渗透测试的目的？了解当前系统的安全性、了解攻击者可能利用的途径。它能够让管理人员非常直观的了解当前系统所面临的问题。3、渗透测试是否等同于风险评估？不是，你可以暂时理解成渗透测试属于风险评估的一部分。

4、渗透测试是否就是黑盒测试？否，很多技术人员对这个问题都存在这个错误的理解。渗透测试不只是要模拟外部黑客的入侵，同时，防止内部人员的有意识（无意识）攻击也是很有必要的。5、渗透测试涉及哪些内容?技术层面主要包括网络设备，主机，数据库，应用系统。另外可以考虑加入社会工程学（入侵的艺术/THEARTOFINTRUSION）。

在获取了目标主机的操作系统、开放端口等基本信息后，通常利用通用漏洞扫描工具检测目标系统所存在的漏洞和弱口令。通用漏洞主要指操作系统本身或者安装的应用软件所存在的漏洞，通常是指缓冲区漏洞，例如MS08067、oracle的漏洞。由于系统开启了135、139、445、1433、1521等应用程序端口，同时没有及时安装补丁，使得外来主机可以通过相应的端口发送恶意的请求从而获取不应当获得的系统权限。

但是如果没有在边界上进行良好的访问控制，则缓冲区溢出漏洞有着极其严重的威胁，会轻易被恶意用户利用获得服务器的最高权限。XScan是一款国产的漏洞扫描软件，完全免费，无需安装，由国内著名民间黑客组织“安全焦点”完成，XScan的功能包括：开放服务、操作系统鉴别、应用系统弱口令、IIS编码漏洞、应用漏洞检测等。