渗透测试工程师从业经验

这周参加360的补天大会听了一位渗透大佬的分享,感觉获益匪浅。

一、常见问题

1、客户系统,之前做过渗透测试,我们要怎么做?

深入了解客户系统,一丝不苟发现系统深层次漏洞。

2、客户系统,部署了防火墙,我们要怎么做?

可以绕过防火墙进行测试,比如通过内部wifi的手段等。客户已有的安全防护,不一定安全,很容易被绕过。

3、客户系统,采用Ukey登录,还需要渗透吗?

Ukey的安全性也需要验证,之前有ukey发送一个验证,然后这个验证可以重复使用的情况。

4、客户系统,网络协议是加密的,抓不到数据包,怎么办?

尝试一些破解的方式,对授权系统进行渗透时,最好别对其他系统进行测试

5、客户系统,好像是静态页面,搞不进去,怎么办?

抓数据包,寻找有动态交互的地方。

6、客户系统,我们要不要上扫描器进行扫描?

尽量不要用扫描器,降低对客户系统的伤害,特别是敏感关键系统,也别内网渗透。敏感系统进行测试,最好申请搭建测试环境,或申请账号。

7、客户系统,渗透测试发现好像已经入侵,怎么办?

发现被入侵迹象,要及时通知客户,并随时准备应急响应

二、知识积累

1、每次渗透测试项目,客户系统都会是你成长的老师

2、从渗透测试过程中了解自身的不足,然后用行动去弥补不足之处

3、要善于和比自己强的人进行沟通,交流、请教和学习

4、要不断的扩充自己的知识面,不断地提升自己的应对能力

5、遇事不要退缩,要有信心,坚信自己可以完成每一项任务挑战

6、知识论坛、圈子、杂志、周刊、漏洞平台都可以给予你营养

7、适当参加一些网络安全比赛,积累比赛经验,培养良好素质

三、关系处理

1、渗透之前要问清楚客户需求,哪些底线或原则是不能触碰的

2、渗透测试项目中要尊重客户的选择,如有特殊需求要向客户提

3、渗透测试结束后,要及时跟客户做一个简单工作汇报

4、工作中如遇到阻力或者客户对工作不满意,千万别找理由,要及时跟领导汇报

5、碰到自己不擅长的项目,在客户面前要低调一点,要及时找同事帮助

6、认清自己的角色,客户提的需求,要向领导进行汇报,请领导指示

7、渗透测试后获取的敏感系统文档。数据、要跟客户表述会进行删除处理

四、攻防实战

1、组建公司内部的信息安全实验室、模拟验证最新网络攻防实战环境

2、对符合自身业务的漏洞进行跟踪,还原攻击方式、利用成本和漏洞修复

3、攻防实战从人与系统的对抗,上升至人与人之间的较量

4、建立完善的攻击监控系统,对内外防御要做到有情能查,有情必究

5、红蓝双方的攻防对抗,要逐步行程常态化攻防演练

6、从不明攻击的角度去量化攻击的存在,并行程攻击处置方法

7、漏洞防御已经变的防不胜防,做好安全管控已经迫在眉睫

五、团队建设

1、向团队核心人物看齐,如果团队没有核心,那团队就危险了

2、善于与团队成员配合,取长补短,共同进步

3、梳理团队成员责任心,做人做事认真、负责

4、合理划分团队成员职责、人物,确保工作高效运行

5、善于处理团队中产生的矛盾、分歧、以最小化影响进行处理

6、积极为团队成员排忧解难,全身心投入工作

7、建立培训计划,定期组织团队进行内部技能培训和分享,提升团队能力

六、职业规划

1、自己心里要有计划,但最好在五年之内逐步提升自己的技术实力

2、如果对渗透测试没有兴趣了,要趁早选择自己的第二职业,别耽误事

3、合理时间范围内、可以适当选择跳槽,融入可以提升你自己的企业

4、要逐步从技术向管理转变、学习管理方法,提高管理能力

5、要逐步扩大自己的人际圈子,千万不要束缚自己的交际范围

6、想要创业的朋友,要了解公司管理和财务管理方面的知识,千万别盲目创业

7、准备研发产品的朋友,一定要注意你研发的产品,是否能解决用户的痛点

原文发布于微信公众号 - JAVA高级架构(gaojijiagou)

原文发表时间:2018-06-03

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏机器人网

机器人“球童”帮忙捡网球,再也不用担心练球后的收尾工作

最近,一款网球机器人“球童”登录国外知名众筹网站Kickstarter发起众筹,旨在帮忙收集球场周边散落的网球,让球员和教练将更多的时间放在练球或者享受打球的乐...

1063
来自专栏小程序

拼团小程序带你玩转营销裂变

3285
来自专栏程序员互动联盟

嵌入式做多长时间能达到月薪2W?

疑惑一 为什么Window8上面安装的编程软件运行不了? 很多初学者再群里问,再win8系统上安装一些编程软件,不能正常的运行,其实这也不难理解,毕竟win8是...

3436
来自专栏ATYUN订阅号

Oracle展示全新AI功能,用于识别和选择最佳求职者

来自世界各地的人力资源专家在Oracle OpenWorld上分享了将公司引入新工作领域的战略,其中AI将帮助他们识别和选择最佳求职者,协助员工完成日常工作,并...

1131
来自专栏FreeBuf

如何将威胁情报整合到安全意识项目中?

优秀的网络威胁情报能够帮助企业预见、应对并解决威胁因素。虽然优秀的情报当中必然包含大量内容,但企业绝不能单纯依靠内容来驱动整个运营体系中的价值实现方式。企业管理...

1313

可再生能源物联网:当物联网遇到能源

随着对全球变暖和化石燃料消耗问题的关注不断上升,世界正在转向替代能源以满足其需求。其中最具可持续性的选择是可再生能源。该领域遍及太阳能,风能,水力和地热等各种能...

57414
来自专栏科技向令说

响铃:装机量竞赛已成过去时 移动浏览器下半场该怎么玩

移动浏览器在2G时代起就已经在功能机上大行其道。随着移动互联网深入,移动浏览器一边蓬勃发展,一边面临着“入口地位下降”的挑战,被APP取代的论调一度甚嚣尘上。

952
来自专栏罗超频道

WIN10的“操作系统分发商”,为什么是这四家?

原创2015-03-18罗超 在移动互联网吞噬一切之时,PC已经静如死水多年。不过今天PC老大哥微软发布WIN10的玩法,则让PC市场又回到人们视野,以完全不同...

2376
来自专栏美团技术团队

美团 P2P 图书馆实践:5天时间1845册图书共享入库

美团图书馆做的太赞了!只要用大象的「扫一扫」扫一下书封底的条形码,就可以把这本书录入进去。我刚才一口气分享了二十几本书。根本停不下来! ——美团网CEO王兴 我...

4429
来自专栏程序员互动联盟

现实生活中黑客攻击的时候是什么样子的,是电影里那样吗?

电影中只要不是纪实类型的,基本上都会为了艺术效果而拉伸镜头达成某种效果。真正黑客在攻克堡垒之前也会和平常的程序员一样会有各种苦恼的事情,黑客工作方向和程序员开发...

1494

扫码关注云+社区

领取腾讯云代金券