這幾天在2020RSAC安全行業盛會上聽了一名滲透大佬的經驗分享,感覺得益匪淺。
一、滲透測試服務中的常見問題
1、對客戶網站系統,之前在其他幾家安全公司做過滲透測試服務,那么我們接手的話要如何進行?深入深入分析客戶程序,認真細致發現程序全方位、深層次漏洞。
2、如果客戶的程序,部署了環境waf防火墻服務,我們要如何進行?還可以繞過web防火墻采取滲透測試,比如還可以通過內部局域網的技術手段去測試等??蛻衄F有的網站安全防護,未必安全,非常容易被繞過。
3、客戶程序,使用ukey硬件設備登錄認證,還需要安全滲透測試嗎?
Ukey硬件設備的安全性也需要驗證安全測試,之前有過此設備發送一個驗證后,隨后這個驗證還可以重復使用的情況。
4、客戶程序,網絡層協議是用的SSL證書加密傳輸的,傳輸數據這里也做了rsa加密導致截取不到數據包,接下來該怎么辦?
試著一些常用到的破解方式,比如對https證書偽造,協議重置,對授權程序采取滲透測試時,千萬不要去測試沒有經過授權的系統哦.
5、客戶網站程序,似乎是靜態網頁,無法進入滲透測試。我該怎么辦?
網站中不斷的去抓數據包分析,然后去尋找有動態腳本交互功能的地方查找問題。
6、客戶的系統程序,我們需不需要上網站漏洞掃描器采取掃描?
盡量不要用漏洞掃描器,降低對客戶現有正在運行系統的傷害,特別是比較敏感關鍵程序,也別內網滲透。比較敏感程序采取測試,最好是申請搭建測試環境,用測試賬號或申請賬號。
7、客戶程序,在安全滲透測試發現好像已經被入侵了,該如何處理?
發現被黑客入侵的跡象,要馬上告知客戶,并隨時準備應急響應處理安全問題
二、實戰經驗積累
1、每次滲透測試客戶項目,客戶系統安全測試都會是你成長道路上的老師。
2、從滲透測試過程中深入分析自身的不足,隨后在以后的項目行動中去彌補不足之處。
3、要善于和比自身能力強的人采取溝通,洽談、求教和進修。
4、要不斷的擴充自身的知識層面,不停的提高自己的解決能力。
5、遇到困難不要退縮,要有自信心,堅信自身還可以完成每一項任務挑戰。
6、安全知識論壇、滲透圈子、安全雜志、周刊、漏洞平臺都可以給予你經驗。
7、在空閑時間段經常參加一些網絡安全比賽,積累比賽中的實戰經驗,培養良好響應處理素質。
三、客戶關系處理
1、項目滲透之前要問明白客戶需求,哪些底限或原則是不能觸及的。
2、網站滲透測試項目中要多聽取客戶的選擇和要求,如有特別的需求要向客戶提出,并協商處理問題。
3、滲透測試結束后,要馬上整理安全報告跟客戶做一個簡易工作情況匯報。
4、工作上如果遇到阻礙或者客戶對工作任務不令人滿意,千萬不要找借口,要馬上跟領導干部匯報。
5、碰到自身不擅長的技術測試項目,在客戶面前要沉穩一點,不要逞強,要馬上找其他同事協助。
6、了解自己的角色定位,客戶提的需求,要向領導干部采取匯報,請領導干部指示。
7、滲透測試后獲得的比較敏感程序文檔。數據、要跟客戶闡述會采取刪除處理。
四、攻防實戰演練
1、組建公司內部的信息安全實驗室、模擬驗證最新網絡攻防實戰演練環境。
2、對符合自身業務的漏洞采取跟蹤,還原攻擊方式、利用成本和漏洞修復。
3、攻防實戰演練從人與機器的對抗,上升至人與人之間的較量。
4、建立全面的攻擊主動防御監控系統,對內外防護要做到有攻擊必查,尋找根源漏洞原因。
5、從未知攻擊的角度去量化分析攻擊的存在,并行程攻擊應急處置方法。
6、網站漏洞防護已經變的防不勝防,做好安全管控已經刻不容緩。
五、安全職業規劃
1、自身內心要有計劃方案,但最好是在五年之內逐步提高自己的滲透技術實力。
2、如果對滲透測試沒有興趣了,要盡早選擇自身的其他職業,別耽擱事業。
3、合理時間段范圍內、還可以適當選擇跳槽,融入到還可以提升你自身的企業。
4、要一步一步的從技術職業向管理職業轉型、進修管理方法,提高領導能力。
5、要進一步增加自身的人際圈子,千萬不要拘束自身的人際交往范圍。
6、想要自己做滲透測試公司創業的朋友,要深入分析公司管理和財務會計方面的知識,千萬不要草率創業。
7、準備搞安全防護研發產品的朋友,一定要注意你開發的安全產品,是否能解決用戶的實際問題。
8、如果企業或個人想要對自己的系統或平臺進行安全滲透測試像要查找漏洞的話可以咨詢專業的網站安全公司,國內像Sinesafe,鷹盾安全,啟明星辰以及綠盟都是比較不錯的首選。