专栏首页FreeBuf安全招聘中,如何招到优秀的Web渗透测试人员?

安全招聘中,如何招到优秀的Web渗透测试人员?

越来越多的企业招聘安全人员,然而安全人员大多草根出身,可谓鱼龙混杂。作为企业,你就必须要知道如何才能招到最优秀的Web渗透人员,而不是“职业骗子”。本文罗列了一些安全招聘中其可能需要具备的素质,技能和准则,仅供参考。

有开发背景(知道如何编写代码)

你不会想招一个只会对Web应用运行漏洞扫描器的脚本小子。而与一个仅仅知道扫描器的来龙去脉的脚本小子相比,经过安全培训后的开发人员的优势在于:

了解他们自己开发的应用程序的漏洞和缺陷,并知道如何测试和修复。 在评估过程中可以自动化或者开发相应的工具。 如果培训得当,他们更容易学会正确测试web应用程序的方式——这是基于我的经验,当时我被一个软件开发公司雇佣,用来培训一组几乎没有漏洞评估经验和安全意识的开发人员,结果非常好。对我来说,这些人比非开发人员更好训练。 有一个好主意和理解应用程序的业务逻辑和程序流。 可以编写一个简单的Poc。

当然,我不会招聘完全不懂代码的人,也不会招一个之前没有做过开发的人作为源代码审计工程师,因为这很容易出现误报。

熟悉OWASP(开放性Web应用程序安全项目)

强烈建议熟悉OWASP的旗舰文件——OWASP的Top 10。因为它提供了有关Web应用安全的意识。

OWASP中的TOP 10依次是:A1,注入;A2,失效的身份认证和会话管理;A3,跨站脚本;A4,不安全的直接对象引用;A5,安全配置错误;A6,敏感信息泄漏;A7,功能级的访问控制缺失;A8,跨站请求伪造;A9,使用含有已知漏洞的组件;A10,未验证的重定向和转发。

如果在招聘过程中,面试人能总结OWASP的Top 10,那么他应该是适合这项工作,特别是如果他可以在自己的实验室或机器上展示一些攻击方法。

除了上述项目,如果他也熟悉一些由OWASP发起的项目比如Mutillidae,OWASP漏洞的Web应用程序项目,那么就能证明他是一个真正的安全爱好者和发烧友并且具有渗透应用程序的能力。

玩过漏洞平台

首先,漏洞赏金计划是什么?这是一个公司的奖励程序,如果黑客发现他们的应用程序的一个安全缺陷,就可以通过一些平台进行负责任的披露。?国外有Hackerone、BugCrowd,国内有漏洞盒子、乌云等平台。

如果你可以在谷歌、facebook、twitter、微软等公司的应急响应中心上看到面试人的名字或ID,那么他可能是一个出色的人才,特别是如果他还在Google,Chrome,Mozilla或Internet Explorer的漏洞并获得了奖励,那就说明他更牛了。

但是仍要注意那些为了在平台上的排行榜靠前,但靠量取胜(如提交大量无效或低质量漏洞)白帽子。

在Exploit-DB,Packet Strom,或其他的漏洞数据库公开或披露利用程序、公开披露开源软件或企业软件漏洞的EXP作者,漏洞研究者以及白帽子都是值得你考虑招聘的人选,尤其是那些漏洞带有CVE-ID或者OSVD-ID。

对安全好奇且有激情的黑客

如果候选人不具备对安全领域的激情,那么你很难把他们培养成一个优秀的安全人员。优秀的安全人员需要始终保持对知识的渴望——这是黑客的心态,始终探索新的可能性。

你不能招那些仅是通过阅读书籍和文档了解OWASP的测试方法的人。他们还必须知道如何跳出固有思维模式应用或测试。比如喜好搭建自己的实验环境,攻击和测试自己搭建的脆弱的web应用程序,练习他们所学到的一切。

他们需要像黑客一样思考。黑客喜欢创新,做事出于好奇,这种主动性人才比那些有许多安全认证的和在信息安全领域有很多经验,但并没有从实践经验的人好多了!

我们必须承认,有资质认证并不能成为一个黑客,但并不意味着安全认证完全没什么卵用。在文章的后面部分我们讨论为何有安全认证也是一个优势。

UNIX或GNU / Linux经验丰富

虽然大多数商业Web应用程序漏洞扫描器运行在Windows上,但在Unix上也有很多不错的开源工具。与Windows用户相比,擅长GNU/LINUX和UNIX的优势在于能够熟练的使用渗透测试系统Kali linux,backbox linux,以及命令行工具。

这也是最值得关注的,大多数网站都会因为稳定性和总体拥有成本而托管在GNU / Linux服务器。

安全认证

当然,这是一个加分项!通过CEH/ CHFI/ ECSA/ CISSP等的认证考试是一种投资。是的,你投入你的时间,得到了你一定安全证明。通过一定的认证将不能保证你已经是一个黑客,但它仍只是开始和一个良好的基础,除非这家公司仅仅为了合规性要求才招聘安全人员。

然而,这并不是在聘用网络安全测试人员的硬性要求,但知识+技能+认证始终是一个优势。

“会棍”与“赛棍”

出席过像DEFCON、BlackHat、 ROOTCON、 Derbycon这样的国际黑客会议,很容易证明候选人是如何充满激情的对待安全与黑客文化的。黑客界有各种各样的主题和比赛,这将给与会人员带来新的收获。

*参考来源:resources.infosecinstitute,FB小编东二门陈冠希编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

本文分享自微信公众号 - FreeBuf(freebuf),作者:东二门陈冠希

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2016-05-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 选个“靶子”练练手:15个漏洞测试网站带你飞

    俗话说进攻是最好的防御,而这与信息安全世界并没有什么不同。通过这15个故意存漏洞网站来提升你的黑客技能,你会成为最好的防守者——无论你是一名开发人员、安全管理者...

    FB客服
  • 2017 OWASP Top 10十大安全漏洞候选出炉,你怎么看?

    OWASP(开放式Web应用程序安全项目)近日公布2017 OWASP Top10(十大安全漏洞列表),增加了2个新分类。 背景介绍 OWASP项目最具权威的...

    FB客服
  • Google Play商店漏洞:黑客可远程在你的安卓手机上安装恶意APP

    安全研究人员发现Google Play商店中两个严重安全漏洞,可以允许攻击者远程在用户的安卓设备上安装并下载恶意APP(应用)。 Metasploit框架的技术...

    FB客服
  • 谷歌大脑提出NAS-FPN:这是一种学会自动架构搜索的特征金字塔网络

    作者:Golnaz Ghaisi、Tsung-Yi Lin、Ruoming Pang、Quoc V. Le

    机器之心
  • 详解:永磁同步电机原理、特点以及应用

    电机对于工农业来说至关重要,本文将会对电机的定义、分类、电机驱动的分类进行简介,并详细介绍永磁同步电机的原理、特点以及应用。 电机的定义 所谓电机,顾名...

    机器人网
  • 如何在 ASP.NET MVC 中集成 AngularJS(1)

    介绍 当涉及到计算机软件的开发时,我想运用所有的最新技术。例如,前端使用最新的 JavaScript 技术,服务器端使用最新的基于 REST 的 Web API...

    葡萄城控件
  • Go基础——数据类型

    在上面的程序中,a 赋值为 true,b 赋值为 false。c 赋值为 a && b。仅当 a 和 b 都为 true 时,操作符 && 才返回 true。因...

    羊羽shine
  • 一日一技:在Python中,如何获得一个函数的名字?

    青南
  • Leetcode 105. Construct Binary Tree from Preorder and Inorder Traversal

    版权声明:博客文章都是作者辛苦整理的,转载请注明出处,谢谢! https://blog.csdn....

    Tyan
  • 快看这个机器人,在使用双截棍!| 附正经paper

    夏乙 编译整理 量子位 出品 | 公众号 QbitAI 机器人会武术,谁也挡不住。 但是,真的有一群科研人员让机器人学会了一样兵器:双节棍。 就像这样: 新泽西...

    量子位

扫码关注云+社区

领取腾讯云代金券