这几天在2020RSAC安全行业盛会上听了一名渗透大佬的经验分享,感觉得益匪浅。
一、渗透测试服务中的常见问题
1、对客户网站系统,之前在其他几家安全公司做过渗透测试服务,那么我们接手的话要如何进行?深入深入分析客户程序,认真细致发现程序全方位、深层次漏洞。
2、如果客户的程序,部署了环境waf防火墙服务,我们要如何进行?还可以绕过web防火墙采取渗透测试,比如还可以通过内部局域网的技术手段去测试等。客户现有的网站安全防护,未必安全,非常容易被绕过。
3、客户程序,使用ukey硬件设备登录认证,还需要安全渗透测试吗?
Ukey硬件设备的安全性也需要验证安全测试,之前有过此设备发送一个验证后,随后这个验证还可以重复使用的情况。
4、客户程序,网络层协议是用的SSL证书加密传输的,传输数据这里也做了rsa加密导致截取不到数据包,接下来该怎么办?
试着一些常用到的破解方式,比如对https证书伪造,协议重置,对授权程序采取渗透测试时,千万不要去测试没有经过授权的系统哦.
5、客户网站程序,似乎是静态网页,无法进入渗透测试。我该怎么办?
网站中不断的去抓数据包分析,然后去寻找有动态脚本交互功能的地方查找问题。
6、客户的系统程序,我们需不需要上网站漏洞扫描器采取扫描?
尽量不要用漏洞扫描器,降低对客户现有正在运行系统的伤害,特别是比较敏感关键程序,也别内网渗透。比较敏感程序采取测试,最好是申请搭建测试环境,用测试账号或申请账号。
7、客户程序,在安全渗透测试发现好像已经被入侵了,该如何处理?
发现被黑客入侵的迹象,要马上告知客户,并随时准备应急响应处理安全问题
二、实战经验积累
1、每次渗透测试客户项目,客户系统安全测试都会是你成长道路上的老师。
2、从渗透测试过程中深入分析自身的不足,随后在以后的项目行动中去弥补不足之处。
3、要善于和比自身能力强的人采取沟通,洽谈、求教和进修。
4、要不断的扩充自身的知识层面,不停的提高自己的解决能力。
5、遇到困难不要退缩,要有自信心,坚信自身还可以完成每一项任务挑战。
6、安全知识论坛、渗透圈子、安全杂志、周刊、漏洞平台都可以给予你经验。
7、在空闲时间段经常参加一些网络安全比赛,积累比赛中的实战经验,培养良好响应处理素质。
三、客户关系处理
1、项目渗透之前要问明白客户需求,哪些底限或原则是不能触及的。
2、网站渗透测试项目中要多听取客户的选择和要求,如有特别的需求要向客户提出,并协商处理问题。
3、渗透测试结束后,要马上整理安全报告跟客户做一个简易工作情况汇报。
4、工作上如果遇到阻碍或者客户对工作任务不令人满意,千万不要找借口,要马上跟领导干部汇报。
5、碰到自身不擅长的技术测试项目,在客户面前要沉稳一点,不要逞强,要马上找其他同事协助。
6、了解自己的角色定位,客户提的需求,要向领导干部采取汇报,请领导干部指示。
7、渗透测试后获得的比较敏感程序文档。数据、要跟客户阐述会采取删除处理。
四、攻防实战演练
1、组建公司内部的信息安全实验室、模拟验证最新网络攻防实战演练环境。
2、对符合自身业务的漏洞采取跟踪,还原攻击方式、利用成本和漏洞修复。
3、攻防实战演练从人与机器的对抗,上升至人与人之间的较量。
4、建立全面的攻击主动防御监控系统,对内外防护要做到有攻击必查,寻找根源漏洞原因。
5、从未知攻击的角度去量化分析攻击的存在,并行程攻击应急处置方法。
6、网站漏洞防护已经变的防不胜防,做好安全管控已经刻不容缓。
五、安全职业规划
1、自身内心要有计划方案,但最好是在五年之内逐步提高自己的渗透技术实力。
2、如果对渗透测试没有兴趣了,要尽早选择自身的其他职业,别耽搁事业。
3、合理时间段范围内、还可以适当选择跳槽,融入到还可以提升你自身的企业。
4、要一步一步的从技术职业向管理职业转型、进修管理方法,提高领导能力。
5、要进一步增加自身的人际圈子,千万不要拘束自身的人际交往范围。
6、想要自己做渗透测试公司创业的朋友,要深入分析公司管理和财务会计方面的知识,千万不要草率创业。
7、准备搞安全防护研发产品的朋友,一定要注意你开发的安全产品,是否能解决用户的实际问题。
8、如果企业或个人想要对自己的系统或平台进行安全渗透测试像要查找漏洞的话可以咨询专业的网站安全公司,
