1、甲方客戶系統,之前做過滲透測試,我們要怎麼做?
深入了解客戶系統,進而挖掘深層次漏洞。
2、甲方客戶系統,部署waf,我們要怎麼做?
首先繞過防火牆進行測試,比如通過內部wifi的手段或者利用工具sqlmap等。客戶已有的安全防護,不一定安全,很容易被繞過,所以要進行多種測試。
3、甲方客戶系統,採用ukey登入,還需要滲透嗎?
ukey的安全性也需要驗證,之前有ukey傳送乙個驗證,然後這個驗證可以重複使用的情況。
4、甲方客戶系統,網路協議是加密的,抓不到資料報,怎麼辦?
嘗試一些破解的方式,對授權系統進行滲透時,最好別對其他系統進行測試
5、甲方客戶系統,我們要不要上掃瞄器進行掃瞄?
盡量不要用掃瞄器,降低對客戶系統的傷害,特別是敏感關鍵系統,也別內網滲透。敏感系統進行測試,最好申請搭建測試環境,或申請賬號。
6、甲方客戶系統,好像是靜態頁面,搞不進去,怎麼辦?
抓資料報,尋找有動態互動的地方。
7、甲方客戶系統,滲透測試發現好像已經入侵,怎麼辦?
發現被入侵跡象,要及時通知客戶,進行分析,並隨時準備應急響應
1、每次滲透測試專案,甲方客戶系統都會是你成長的老師多總結,多分析
2、從滲透測試過程中了解自身的不足,然後用行動去彌補不足之處多練習,多總結
3、要善於和比自己強的人進行溝通,交流、請教和學習再進行總結
4、要不斷的擴充自己的知識面,不斷地提公升自己的應對能力
5、遇事不要退縮,要有信心,堅信自己可以完成每一項任務挑戰
6.遇事冷靜,每天積累一點點總結起來,滴水石穿
7、適當參加一些網路安全比賽,積累比賽經驗,培養良好素質
8、知識論壇、圈子、雜誌、週刊、漏洞平台都可以給予你營養
三、和客戶之間的溝通
1、在對甲方展開滲透之前要問清楚客戶需求,比如哪些底線或原則是不能觸碰的
2、滲透測試專案中要尊重客戶的選擇,如有特殊需求要向客戶提,甲方同意後在執行
3、滲透測試結束後,要及時跟客戶做乙個簡單工作匯報
4、工作中如遇到阻力或者客戶對工作不滿意,千萬別找理由,要及時跟領導匯報
5、碰到自己不擅長的專案,在甲方客戶面前要低調一點,要及時找同事幫助虛心請教,總結經驗,下次運用到工作中
6、必須認清自己的角色,甲方客戶提的需求,要向領導進行匯報,請領導指示不要擅自做主
7、滲透測試後獲取的敏感系統文件。資料、要跟甲方客戶表述會進行刪除處理多溝通,及時處理
四、攻防實戰演練
1、組建公司內部的資訊保安實驗室、模擬驗證最新網路攻防實戰環境見此內部網路安全性
2、對符合自身業務的漏洞進行跟蹤,還原攻擊方式、利用成本和漏洞修復
3、攻防實戰演練從人與系統的對抗,上公升至人與人之間的較量發現問題提早預防
4、建立完善的攻擊監控系統,對內外防禦要做到有情能查,有情必究
5、紅藍雙方的攻防對抗,要逐步行程常態化攻防演練
6、從不明攻擊的角度去量化攻擊的存在,並行程攻擊處置方法
7、漏洞防禦已經變的防不勝防,做好安全管控已經迫在眉睫
五、團隊建設
1、向團隊核心人物看齊,如果團隊沒有核心,那團隊就危險了
2、善於與團隊成員配合,取長補短,共同進步
3、梳理團隊成員責任心,做人做事認真、負責
4、合理劃分團隊成員職責、人物,確保工作高效執行
5、善於處理團隊中產生的矛盾、分歧、以最小化影響進行處理
6、積極為團隊成員排憂解難,全身心投入工作
7、建立培訓計畫,定期組織團隊進行內部技能培訓和分享,提公升團隊能力
六、職業規劃
1、自己心裡要有計畫,但最好在五年之內逐步提公升自己的技術實力
2、如果對滲透測試沒有興趣了,要趁早選擇自己的第二職業,別耽誤事
3、合理時間範圍內、可以適當選擇跳槽,融入可以提公升你自己的企業
4、要逐步從技術向管理轉變、學習管理方法,提高管理能力
5、要逐步擴大自己的人際圈子,千萬不要束縛自己的交際範圍
6、想要創業的朋友,要了解公司管理和財務管理方面的知識,千萬別盲目創業
7、準備研發產品的朋友,一定要注意你研發的產品,是否能解決使用者的痛點
1、甲方客戶系統,之前做過滲透測試,我們要怎麼做?
深入了解客戶系統,進而挖掘深層次漏洞。
2、甲方客戶系統,部署waf,我們要怎麼做?
首先繞過防火牆進行測試,比如通過內部wifi的手段或者利用工具sqlmap等。客戶已有的安全防護,不一定安全,很容易被繞過,所以要進行多種測試。
3、甲方客戶系統,採用ukey登入,還需要滲透嗎?
ukey的安全性也需要驗證,之前有ukey傳送乙個驗證,然後這個驗證可以重複使用的情況。
4、甲方客戶系統,網路協議是加密的,抓不到資料報,怎麼辦?
嘗試一些破解的方式,對授權系統進行滲透時,最好別對其他系統進行測試
5、甲方客戶系統,我們要不要上掃瞄器進行掃瞄?
盡量不要用掃瞄器,降低對客戶系統的傷害,特別是敏感關鍵系統,也別內網滲透。敏感系統進行測試,最好申請搭建測試環境,或申請賬號。
6、甲方客戶系統,好像是靜態頁面,搞不進去,怎麼辦?
抓資料報,尋找有動態互動的地方。
7、甲方客戶系統,滲透測試發現好像已經入侵,怎麼辦?
發現被入侵跡象,要及時通知客戶,進行分析,並隨時準備應急響應
1、每次滲透測試專案,甲方客戶系統都會是你成長的老師多總結,多分析
2、從滲透測試過程中了解自身的不足,然後用行動去彌補不足之處多練習,多總結
3、要善於和比自己強的人進行溝通,交流、請教和學習再進行總結
4、要不斷的擴充自己的知識面,不斷地提公升自己的應對能力
5、遇事不要退縮,要有信心,堅信自己可以完成每一項任務挑戰
6.遇事冷靜,每天積累一點點總結起來,滴水石穿
7、適當參加一些網路安全比賽,積累比賽經驗,培養良好素質
8、知識論壇、圈子、雜誌、週刊、漏洞平台都可以給予你營養
三、和客戶之間的溝通
1、在對甲方展開滲透之前要問清楚客戶需求,比如哪些底線或原則是不能觸碰的
2、滲透測試專案中要尊重客戶的選擇,如有特殊需求要向客戶提,甲方同意後在執行
3、滲透測試結束後,要及時跟客戶做乙個簡單工作匯報
4、工作中如遇到阻力或者客戶對工作不滿意,千萬別找理由,要及時跟領導匯報
5、碰到自己不擅長的專案,在甲方客戶面前要低調一點,要及時找同事幫助虛心請教,總結經驗,下次運用到工作中
6、必須認清自己的角色,甲方客戶提的需求,要向領導進行匯報,請領導指示不要擅自做主
7、滲透測試後獲取的敏感系統文件。資料、要跟甲方客戶表述會進行刪除處理多溝通,及時處理
四、攻防實戰演練
1、組建公司內部的資訊保安實驗室、模擬驗證最新網路攻防實戰環境見此內部網路安全性
2、對符合自身業務的漏洞進行跟蹤,還原攻擊方式、利用成本和漏洞修復
3、攻防實戰演練從人與系統的對抗,上公升至人與人之間的較量發現問題提早預防
4、建立完善的攻擊監控系統,對內外防禦要做到有情能查,有情必究
5、紅藍雙方的攻防對抗,要逐步行程常態化攻防演練
6、從不明攻擊的角度去量化攻擊的存在,並行程攻擊處置方法
7、漏洞防禦已經變的防不勝防,做好安全管控已經迫在眉睫
五、團隊建設
1、向團隊核心人物看齊,如果團隊沒有核心,那團隊就危險了
2、善於與團隊成員配合,取長補短,共同進步
3、梳理團隊成員責任心,做人做事認真、負責
4、合理劃分團隊成員職責、人物,確保工作高效執行
5、善於處理團隊中產生的矛盾、分歧、以最小化影響進行處理
6、積極為團隊成員排憂解難,全身心投入工作
7、建立培訓計畫,定期組織團隊進行內部技能培訓和分享,提公升團隊能力
六、職業規劃
1、自己心裡要有計畫,但最好在五年之內逐步提公升自己的技術實力
2、如果對滲透測試沒有興趣了,要趁早選擇自己的第二職業,別耽誤事
3、合理時間範圍內、可以適當選擇跳槽,融入可以提公升你自己的企業
4、要逐步從技術向管理轉變、學習管理方法,提高管理能力
5、要逐步擴大自己的人際圈子,千萬不要束縛自己的交際範圍
6、想要創業的朋友,要了解公司管理和財務管理方面的知識,千萬別盲目創業
7、準備研發產品的朋友,一定要注意你研發的產品,是否能解決使用者的痛點
滲透測試主要流程
和客戶進行溝通,做滲透測試的程度?為什麼要做滲透測試?做滲透測試中需要注意哪些避諱?客戶的業務主要是什麼?最關注什麼?測試範圍,哪些能測,哪些不能測?確定好測試的時間地點接待人等?免罪金牌 商量好出事故的責任承擔 收集所有的公開的資訊並且分析,查 ip?作業系統?指令碼語言?在該伺服器上有沒有其他的...
滲透測試工程師從業經驗
這周參加360的補天大會聽了一位滲透大佬的分享,感覺獲益匪淺。1 客戶系統,之前做過滲透測試,我們要怎麼做?深入了解客戶系統,一絲不苟發現系統深層次漏洞。2 客戶系統,部署了防火牆,我們要怎麼做?可以繞過防火牆進行測試,比如通過內部wifi的手段等。客戶已有的安全防護,不一定安全,很容易被繞過。3 ...
滲透測試工具 sqlmap
簡單來說 乙個用來做sql注入攻擊的工具 2.配置環境變數 控制面板 系統和安全 系統 高階系統設定 環境變數 找到path 新建黏貼python位址 sqlmap支援五種不同的注入模式 1 基於布林的盲注,即可以根據返回頁面判斷條件真假的注入。2 基於時間的盲注,即不能根據頁面返回內容判斷任何資訊...