域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過
這幾天在2020RSAC安全行業(yè)盛會(huì)上聽了一名滲透大佬的經(jīng)驗(yàn)分享,感覺得益匪淺。
一、滲透測(cè)試服務(wù)中的常見問題
1、對(duì)客戶網(wǎng)站系統(tǒng),之前在其他幾家安全公司做過滲透測(cè)試服務(wù),那么我們接手的話要如何進(jìn)行?深入深入分析客戶程序,認(rèn)真細(xì)致發(fā)現(xiàn)程序全方位、深層次漏洞。
2、如果客戶的程序,部署了環(huán)境waf防火墻服務(wù),我們要如何進(jìn)行?還可以繞過web防火墻采取滲透測(cè)試,比如還可以通過內(nèi)部局域網(wǎng)的技術(shù)手段去測(cè)試等??蛻衄F(xiàn)有的網(wǎng)站安全防護(hù),未必安全,非常容易被繞過。
3、客戶程序,使用ukey硬件設(shè)備登錄認(rèn)證,還需要安全滲透測(cè)試嗎?
Ukey硬件設(shè)備的安全性也需要驗(yàn)證安全測(cè)試,之前有過此設(shè)備發(fā)送一個(gè)驗(yàn)證后,隨后這個(gè)驗(yàn)證還可以重復(fù)使用的情況。
4、客戶程序,網(wǎng)絡(luò)層協(xié)議是用的SSL證書加密傳輸?shù)?,傳輸?shù)據(jù)這里也做了rsa加密導(dǎo)致截取不到數(shù)據(jù)包,接下來該怎么辦?
試著一些常用到的破解方式,比如對(duì)https證書偽造,協(xié)議重置,對(duì)授權(quán)程序采取滲透測(cè)試時(shí),千萬不要去測(cè)試沒有經(jīng)過授權(quán)的系統(tǒng)哦.
5、客戶網(wǎng)站程序,似乎是靜態(tài)網(wǎng)頁,無法進(jìn)入滲透測(cè)試。我該怎么辦?
網(wǎng)站中不斷的去抓數(shù)據(jù)包分析,然后去尋找有動(dòng)態(tài)腳本交互功能的地方查找問題。
6、客戶的系統(tǒng)程序,我們需不需要上網(wǎng)站漏洞掃描器采取掃描?
盡量不要用漏洞掃描器,降低對(duì)客戶現(xiàn)有正在運(yùn)行系統(tǒng)的傷害,特別是比較敏感關(guān)鍵程序,也別內(nèi)網(wǎng)滲透。比較敏感程序采取測(cè)試,最好是申請(qǐng)搭建測(cè)試環(huán)境,用測(cè)試賬號(hào)或申請(qǐng)賬號(hào)。
7、客戶程序,在安全滲透測(cè)試發(fā)現(xiàn)好像已經(jīng)被入侵了,該如何處理?
發(fā)現(xiàn)被黑客入侵的跡象,要馬上告知客戶,并隨時(shí)準(zhǔn)備應(yīng)急響應(yīng)處理安全問題
二、實(shí)戰(zhàn)經(jīng)驗(yàn)積累
1、每次滲透測(cè)試客戶項(xiàng)目,客戶系統(tǒng)安全測(cè)試都會(huì)是你成長(zhǎng)道路上的老師。
2、從滲透測(cè)試過程中深入分析自身的不足,隨后在以后的項(xiàng)目行動(dòng)中去彌補(bǔ)不足之處。
3、要善于和比自身能力強(qiáng)的人采取溝通,洽談、求教和進(jìn)修。
4、要不斷的擴(kuò)充自身的知識(shí)層面,不停的提高自己的解決能力。
5、遇到困難不要退縮,要有自信心,堅(jiān)信自身還可以完成每一項(xiàng)任務(wù)挑戰(zhàn)。
6、安全知識(shí)論壇、滲透圈子、安全雜志、周刊、漏洞平臺(tái)都可以給予你經(jīng)驗(yàn)。
7、在空閑時(shí)間段經(jīng)常參加一些網(wǎng)絡(luò)安全比賽,積累比賽中的實(shí)戰(zhàn)經(jīng)驗(yàn),培養(yǎng)良好響應(yīng)處理素質(zhì)。
三、客戶關(guān)系處理
1、項(xiàng)目滲透之前要問明白客戶需求,哪些底限或原則是不能觸及的。
2、網(wǎng)站滲透測(cè)試項(xiàng)目中要多聽取客戶的選擇和要求,如有特別的需求要向客戶提出,并協(xié)商處理問題。
3、滲透測(cè)試結(jié)束后,要馬上整理安全報(bào)告跟客戶做一個(gè)簡(jiǎn)易工作情況匯報(bào)。
4、工作上如果遇到阻礙或者客戶對(duì)工作任務(wù)不令人滿意,千萬不要找借口,要馬上跟領(lǐng)導(dǎo)干部匯報(bào)。
5、碰到自身不擅長(zhǎng)的技術(shù)測(cè)試項(xiàng)目,在客戶面前要沉穩(wěn)一點(diǎn),不要逞強(qiáng),要馬上找其他同事協(xié)助。
6、了解自己的角色定位,客戶提的需求,要向領(lǐng)導(dǎo)干部采取匯報(bào),請(qǐng)領(lǐng)導(dǎo)干部指示。
7、滲透測(cè)試后獲得的比較敏感程序文檔。數(shù)據(jù)、要跟客戶闡述會(huì)采取刪除處理。
四、攻防實(shí)戰(zhàn)演練
1、組建公司內(nèi)部的信息安全實(shí)驗(yàn)室、模擬驗(yàn)證最新網(wǎng)絡(luò)攻防實(shí)戰(zhàn)演練環(huán)境。
2、對(duì)符合自身業(yè)務(wù)的漏洞采取跟蹤,還原攻擊方式、利用成本和漏洞修復(fù)。
3、攻防實(shí)戰(zhàn)演練從人與機(jī)器的對(duì)抗,上升至人與人之間的較量。
4、建立全面的攻擊主動(dòng)防御監(jiān)控系統(tǒng),對(duì)內(nèi)外防護(hù)要做到有攻擊必查,尋找根源漏洞原因。
5、從未知攻擊的角度去量化分析攻擊的存在,并行程攻擊應(yīng)急處置方法。
6、網(wǎng)站漏洞防護(hù)已經(jīng)變的防不勝防,做好安全管控已經(jīng)刻不容緩。
五、安全職業(yè)規(guī)劃
1、自身內(nèi)心要有計(jì)劃方案,但最好是在五年之內(nèi)逐步提高自己的滲透技術(shù)實(shí)力。
2、如果對(duì)滲透測(cè)試沒有興趣了,要盡早選擇自身的其他職業(yè),別耽擱事業(yè)。
3、合理時(shí)間段范圍內(nèi)、還可以適當(dāng)選擇跳槽,融入到還可以提升你自身的企業(yè)。
4、要一步一步的從技術(shù)職業(yè)向管理職業(yè)轉(zhuǎn)型、進(jìn)修管理方法,提高領(lǐng)導(dǎo)能力。
5、要進(jìn)一步增加自身的人際圈子,千萬不要拘束自身的人際交往范圍。
6、想要自己做滲透測(cè)試公司創(chuàng)業(yè)的朋友,要深入分析公司管理和財(cái)務(wù)會(huì)計(jì)方面的知識(shí),千萬不要草率創(chuàng)業(yè)。
7、準(zhǔn)備搞安全防護(hù)研發(fā)產(chǎn)品的朋友,一定要注意你開發(fā)的安全產(chǎn)品,是否能解決用戶的實(shí)際問題。
8、如果企業(yè)或個(gè)人想要對(duì)自己的系統(tǒng)或平臺(tái)進(jìn)行安全滲透測(cè)試像要查找漏洞的話可以咨詢專業(yè)的網(wǎng)站安全公司,國(guó)內(nèi)像Sinesafe,鷹盾安全,啟明星辰以及綠盟都是比較不錯(cuò)的首選。
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!