安全招聘中,如何招到优秀的Web渗透测试人员?

越来越多的企业招聘安全人员,然而安全人员大多草根出身,可谓鱼龙混杂。作为企业,你就必须要知道如何才能招到最优秀的Web渗透人员,而不是“职业骗子”。本文罗列了一些安全招聘中其可能需要具备的素质,技能和准则,仅供参考。

有开发背景(知道如何编写代码)

你不会想招一个只会对Web应用运行漏洞扫描器的脚本小子。而与一个仅仅知道扫描器的来龙去脉的脚本小子相比,经过安全培训后的开发人员的优势在于:

了解他们自己开发的应用程序的漏洞和缺陷,并知道如何测试和修复。 在评估过程中可以自动化或者开发相应的工具。 如果培训得当,他们更容易学会正确测试web应用程序的方式——这是基于我的经验,当时我被一个软件开发公司雇佣,用来培训一组几乎没有漏洞评估经验和安全意识的开发人员,结果非常好。对我来说,这些人比非开发人员更好训练。 有一个好主意和理解应用程序的业务逻辑和程序流。 可以编写一个简单的Poc。

当然,我不会招聘完全不懂代码的人,也不会招一个之前没有做过开发的人作为源代码审计工程师,因为这很容易出现误报。

熟悉OWASP(开放性Web应用程序安全项目)

强烈建议熟悉OWASP的旗舰文件——OWASP的Top 10。因为它提供了有关Web应用安全的意识。

OWASP中的TOP 10依次是:A1,注入;A2,失效的身份认证和会话管理;A3,跨站脚本;A4,不安全的直接对象引用;A5,安全配置错误;A6,敏感信息泄漏;A7,功能级的访问控制缺失;A8,跨站请求伪造;A9,使用含有已知漏洞的组件;A10,未验证的重定向和转发。

如果在招聘过程中,面试人能总结OWASP的Top 10,那么他应该是适合这项工作,特别是如果他可以在自己的实验室或机器上展示一些攻击方法。

除了上述项目,如果他也熟悉一些由OWASP发起的项目比如Mutillidae,OWASP漏洞的Web应用程序项目,那么就能证明他是一个真正的安全爱好者和发烧友并且具有渗透应用程序的能力。

玩过漏洞平台

首先,漏洞赏金计划是什么?这是一个公司的奖励程序,如果黑客发现他们的应用程序的一个安全缺陷,就可以通过一些平台进行负责任的披露。?国外有Hackerone、BugCrowd,国内有漏洞盒子、乌云等平台。

如果你可以在谷歌、facebook、twitter、微软等公司的应急响应中心上看到面试人的名字或ID,那么他可能是一个出色的人才,特别是如果他还在Google,Chrome,Mozilla或Internet Explorer的漏洞并获得了奖励,那就说明他更牛了。

但是仍要注意那些为了在平台上的排行榜靠前,但靠量取胜(如提交大量无效或低质量漏洞)白帽子。

在Exploit-DB,Packet Strom,或其他的漏洞数据库公开或披露利用程序、公开披露开源软件或企业软件漏洞的EXP作者,漏洞研究者以及白帽子都是值得你考虑招聘的人选,尤其是那些漏洞带有CVE-ID或者OSVD-ID。

对安全好奇且有激情的黑客

如果候选人不具备对安全领域的激情,那么你很难把他们培养成一个优秀的安全人员。优秀的安全人员需要始终保持对知识的渴望——这是黑客的心态,始终探索新的可能性。

你不能招那些仅是通过阅读书籍和文档了解OWASP的测试方法的人。他们还必须知道如何跳出固有思维模式应用或测试。比如喜好搭建自己的实验环境,攻击和测试自己搭建的脆弱的web应用程序,练习他们所学到的一切。

他们需要像黑客一样思考。黑客喜欢创新,做事出于好奇,这种主动性人才比那些有许多安全认证的和在信息安全领域有很多经验,但并没有从实践经验的人好多了!

我们必须承认,有资质认证并不能成为一个黑客,但并不意味着安全认证完全没什么卵用。在文章的后面部分我们讨论为何有安全认证也是一个优势。

UNIX或GNU / Linux经验丰富

虽然大多数商业Web应用程序漏洞扫描器运行在Windows上,但在Unix上也有很多不错的开源工具。与Windows用户相比,擅长GNU/LINUX和UNIX的优势在于能够熟练的使用渗透测试系统Kali linux,backbox linux,以及命令行工具。

这也是最值得关注的,大多数网站都会因为稳定性和总体拥有成本而托管在GNU / Linux服务器。

安全认证

当然,这是一个加分项!通过CEH/ CHFI/ ECSA/ CISSP等的认证考试是一种投资。是的,你投入你的时间,得到了你一定安全证明。通过一定的认证将不能保证你已经是一个黑客,但它仍只是开始和一个良好的基础,除非这家公司仅仅为了合规性要求才招聘安全人员。

然而,这并不是在聘用网络安全测试人员的硬性要求,但知识+技能+认证始终是一个优势。

“会棍”与“赛棍”

出席过像DEFCON、BlackHat、 ROOTCON、 Derbycon这样的国际黑客会议,很容易证明候选人是如何充满激情的对待安全与黑客文化的。黑客界有各种各样的主题和比赛,这将给与会人员带来新的收获。

*参考来源:resources.infosecinstitute,FB小编东二门陈冠希编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2016-05-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

NSA泄露文件深度分析(二):运营商

? * 本文原创作者:tom_vodu,本文属FreeBuf原创奖励计划,未经许可禁止转载 说在前面 只是简单看了工具包中的EXP,并在网上关注了一下国外对...

27710
来自专栏黑白安全

云数据存储:漏洞及避免漏洞方法

大约13年前,我们看到了数据存储市场的又一次革命,出现了针对个人和企业的主要集中式云服务。如今,任何用户都可以轻松地访问任何设备的数据,而企业现在可以节省维护自...

1483
来自专栏hotqin888的专栏

双轨制奖金分配系统,兼顾技术人员老龄化问题

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/hotqin888/article/det...

694
来自专栏黑白安全

T-Mobile网站的又曝漏洞:任何人只需一个电话号码就可以访问客户信息

T-Mobile客户:您的数据又一次遭到了威胁。这一次的罪魁祸首似乎是一个名为“copypasta”的bug,一位安全研究人员最近在T-Mobile的网站上公开...

992
来自专栏阮一峰的网络日志

亚马逊如何变成 SOA(面向服务的架构)?

上一篇文章,我摘录了《程序员的呐喊》。这本书有趣的内容太多,今天再摘录一段。 1、 亚马逊公司不仅是世界最大的网络书店,还是世界最大的云服务商。它是怎么实现从...

3039
来自专栏金融科技

为什么软件测试很重要?

  作为人类,我们很可能在任何过程中犯错误。虽然有些错误对我们的生活影响不大,但其他错误严重到足以破坏整个系统或软件。在这些严峻的情况下,拥有一个能够提前发现错...

1012
来自专栏腾讯云数据库(TencentDB)

TDSQL架构及运营介绍

作者介绍:李瑞,高级DBA,拥有丰富的数据库运维运营经验,现负责腾讯云分布式数据库运营相关工作,对数据库的高一致性、高可靠、分布式架构等有深入理解,擅长MySQ...

5649
来自专栏FreeBuf

75%安卓设备受威胁,都是高通API代码惹的祸 ?

近日,美国网络安全公司FireEye披露了一个严重的信息泄露漏洞,该漏洞是由移动芯片巨头高通公司引入到 Android系统中的。 ? 关于高通 高通 (Qual...

2197
来自专栏腾讯数据中心

腾讯数据中心基础设备质量检测之电池巡检仪篇

上一篇《腾讯数据中心基础设备质量检测之电流传感器、智能电表篇》成功推送10000+粉丝,截至小编发稿已有260人次的转发+收藏,同时评论区也热闹非凡。小编截取部...

3257
来自专栏FreeBuf

这可能是史上最大规模Google Play恶意程序活动

近期,Check Point的安全研究专家在Google自家的官方App商城Google Play中发现了一种大规模恶意软件活动。这款恶意软件名叫“Judy”,...

3436

扫码关注云+社区

领取腾讯云代金券