网站安全测试从业者经验浅析
发布时间:2023-02-13 09:22:02 所属栏目:站长资讯 来源:互联网
导读:这几天在2020RSAC安全行业盛会上听了一名渗透大佬的经验分享,感觉得益匪浅。 一、渗透测试服务中的常见问题 1、对客户网站系统,之前在其他几家安全公司做过渗透测试服务,那么我们接手的话要如何进行?深入深入分析客户程序,认真细致发现程序全方位、深层
|
这几天在2020RSAC安全行业盛会上听了一名渗透大佬的经验分享,感觉得益匪浅。 一、渗透测试服务中的常见问题 1、对客户网站系统,之前在其他几家安全公司做过渗透测试服务,那么我们接手的话要如何进行?深入深入分析客户程序,认真细致发现程序全方位、深层次漏洞。 2、如果客户的程序,部署了环境waf防火墙服务,我们要如何进行?还可以绕过web防火墙采取渗透测试,比如还可以通过内部局域网的技术手段去测试等。客户现有的网站安全防护,未必安全,非常容易被绕过。 3、客户程序,使用ukey硬件设备登录认证,还需要安全渗透测试吗? Ukey硬件设备的安全性也需要验证安全测试,之前有过此设备发送一个验证后,随后这个验证还可以重复使用的情况。 4、客户程序,网络层协议是用的SSL证书加密传输的,传输数据这里也做了rsa加密导致截取不到数据包,接下来该怎么办? 试着一些常用到的破解方式,比如对https证书伪造,协议重置,对授权程序采取渗透测试时,千万不要去测试没有经过授权的系统哦. 5、客户网站程序,似乎是静态网页,无法进入渗透测试。我该怎么办? 网站中不断的去抓数据包分析,然后去寻找有动态脚本交互功能的地方查找问题。 二、实战经验积累 1、每次渗透测试客户项目,客户系统安全测试都会是你成长道路上的老师。 2、从渗透测试过程中深入分析自身的不足,随后在以后的项目行动中去弥补不足之处。 3、要善于和比自身能力强的人采取沟通,洽谈、求教和进修。 4、要不断的扩充自身的知识层面,不停的提高自己的解决能力。 5、遇到困难不要退缩,要有自信心,坚信自身还可以完成每一项任务挑战。 三、客户关系处理 1、项目渗透之前要问明白客户需求,哪些底限或原则是不能触及的。 2、网站渗透测试项目中要多听取客户的选择和要求,如有特别的需求要向客户提出,并协商处理问题。 3、渗透测试结束后,要马上整理安全报告跟客户做一个简易工作情况汇报。 4、工作上如果遇到阻碍或者客户对工作任务不令人满意,千万不要找借口,要马上跟领导干部汇报。 5、碰到自身不擅长的技术测试项目,在客户面前要沉稳一点,不要逞强,要马上找其他同事协助。 6、渗透测试后获得的比较敏感程序文档。数据、要跟客户阐述会采取删除处理。 四、安全职业规划 1、自身内心要有计划方案,但最好是在五年之内逐步提高自己的渗透技术实力。 2、如果对渗透测试没有兴趣了,要尽早选择自身的其他职业,别耽搁事业。 3、合理时间段范围内、还可以适当选择跳槽,融入到还可以提升你自身的企业。 4、要一步一步的从技术职业向管理职业转型、进修管理方法,提高领导能力。 5、要进一步增加自身的人际圈子,千万不要拘束自身的人际交往范围。 6、想要自己做渗透测试公司创业的朋友,要深入分析公司管理和财务会计方面的知识,千万不要草率创业。 (编辑:南阳站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
