网站安全测试从业者经验解析

发布时间：2023-05-08 11:02:07 所属栏目：经验来源：

导读：这几天在2020RSAC安全行业盛会上听了一名渗透大佬的经验分享，感觉得益匪浅。

一、渗透测试服务中的常见问题

1、对客户网站系统，之前在其他几家安全公司做过渗透测试服务，那么我们接手的话要如何进行？深深入

这几天在2020RSAC安全行业盛会上听了一名渗透大佬的经验分享，感觉得益匪浅。

一、渗透测试服务中的常见问题

1、对客户网站系统，之前在其他几家安全公司做过渗透测试服务，那么我们接手的话要如何进行？深深入分析客户程序，认真细致发现程序全方位、深层次漏洞。

2、如果客户的程序，部署了环境waf防火墙服务，我们要如何进行？还可以绕过web防火墙采取渗透测试，比如还可以通过内部局域网的技术手段去测试等。客户现有的网站安全防护，未必安全，非常容易被绕过。

3、客户程序，使用ukey硬件设备登录认证，还需要安全渗透测试吗？

4、客户程序，网络层协议是用的SSL证书加密传输的，传输数据这里也做了rsa加密导致截取不到数据包，接下来该怎么办？

5、客户网站程序，似乎是静态网页，无法进入渗透测试。我该怎么办？

二、实战经验积累

1、每次渗透测试客户项目，客户系统安全测试都会是你成长道路上的老师。

2、从渗透测试过程中深入分析自身的不足，随后在以后的项目行动中去弥补不足之处。

3、要善于和自身能力强的人采取沟通，洽谈、求教和进修。

4、要不断的扩充自身的知识层面，不停的提高自己的解决能力。

5、遇到困难不要退缩，要有自信心，坚信自身可以完成每一项任务挑战。

三、客户关系处理

1、项目渗透之前要问明白客户需求，哪些底线或原则是不能触及的。

2、网站渗透测试项目中要多听取客户的选择和要求，如有特别的需求要向客户提出，并协商处理问题。

3、渗透测试结束后，要马上整理安全报告跟客户做一个简易工作情况汇报。

4、工作上如果遇到阻碍或者客户对工作任务不令人满意，千万不要找借口，要马上跟领导干部汇报。

5、了解自己的角色定位，客户提出的需求，要向领导干部采取汇报，请领导干部指示。

四、攻防实战演练

1、组建公司内部的信息安全实验室、模拟验证最新网络攻防实战演练环境。

2、对符合自身业务的漏洞采取跟踪，还原攻击方式、利用成本和漏洞修复。

3、攻防实战演练从人与机器的对抗，上升至人与人之间的较量。

4、建立全面的攻击主动防御监控系统，对内外防护要做到有攻击必查，寻找根源漏洞原因。

5、从未知攻击的角度去量化分析攻击的存在，并行程攻击应急处置方法。

五、安全职业规划

1、自身内心要有计划方案，但最好是在五年之内逐步提高自己的渗透技术实力。

2、如果对渗透测试没有兴趣了，要尽早选择自身的其他职业，别耽搁事业。

3、合理时间段范围内、还可以适当选择跳槽，融入到还可以提升你自身的企业。

4、要一步一步的从技术职业向管理职业转型、进修管理方法，提高领导能力。

5、要进一步增加自身的人际圈子，千万不要拘束自身的人际交往范围。

6、想要自己做渗透测试公司创业的朋友，要深入分析公司管理和财务会计方面的知识，千万不要草率创业。

（编辑：汽车网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!