0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

一位渗透测试工程师的经验分享

工程师人生 来源:网络整理 作者:工程师吴畏 2018-08-22 11:12 次阅读

这周参加360的补天大会听了一位渗透大佬的分享,感觉获益匪浅。

一、常见问题

1、客户系统,之前做过渗透测试,我们要怎么做?

深入了解客户系统,一丝不苟发现系统深层次漏洞。

2、客户系统,部署了防火墙,我们要怎么做?

可以绕过防火墙进行测试,比如通过内部wifi的手段等。客户已有的安全防护,不一定安全,很容易被绕过。

3、客户系统,采用Ukey登录,还需要渗透吗?

Ukey的安全性也需要验证,之前有ukey发送一个验证,然后这个验证可以重复使用的情况。

4、客户系统,网络协议是加密的,抓不到数据包,怎么办?

尝试一些破解的方式,对授权系统进行渗透时,最好别对其他系统进行测试

5、客户系统,好像是静态页面,搞不进去,怎么办?

抓数据包,寻找有动态交互的地方。

6、客户系统,我们要不要上扫描器进行扫描?

尽量不要用扫描器,降低对客户系统的伤害,特别是敏感关键系统,也别内网渗透。敏感系统进行测试,最好申请搭建测试环境,或申请账号。

7、客户系统,渗透测试发现好像已经入侵,怎么办?

发现被入侵迹象,要及时通知客户,并随时准备应急响应

二、知识积累

1、每次渗透测试项目,客户系统都会是你成长的老师

2、从渗透测试过程中了解自身的不足,然后用行动去弥补不足之处

3、要善于和比自己强的人进行沟通,交流、请教和学习

4、要不断的扩充自己的知识面,不断地提升自己的应对能力

5、遇事不要退缩,要有信心,坚信自己可以完成每一项任务挑战

6、知识论坛、圈子、杂志、周刊、漏洞平台都可以给予你营养

7、适当参加一些网络安全比赛,积累比赛经验,培养良好素质

三、关系处理

1、渗透之前要问清楚客户需求,哪些底线或原则是不能触碰的

2、渗透测试项目中要尊重客户的选择,如有特殊需求要向客户提

3、渗透测试结束后,要及时跟客户做一个简单工作汇报

4、工作中如遇到阻力或者客户对工作不满意,千万别找理由,要及时跟领导汇报

5、碰到自己不擅长的项目,在客户面前要低调一点,要及时找同事帮助

6、认清自己的角色,客户提的需求,要向领导进行汇报,请领导指示

7、渗透测试后获取的敏感系统文档。数据、要跟客户表述会进行删除处理

四、攻防实战

1、组建公司内部的信息安全实验室、模拟验证最新网络攻防实战环境

2、对符合自身业务的漏洞进行跟踪,还原攻击方式、利用成本和漏洞修复

3、攻防实战从人与系统的对抗,上升至人与人之间的较量

4、建立完善的攻击监控系统,对内外防御要做到有情能查,有情必究

5、红蓝双方的攻防对抗,要逐步行程常态化攻防演练

6、从不明攻击的角度去量化攻击的存在,并行程攻击处置方法

7、漏洞防御已经变的防不胜防,做好安全管控已经迫在眉睫

五、团队建设

1、向团队核心人物看齐,如果团队没有核心,那团队就危险了

2、善于与团队成员配合,取长补短,共同进步

3、梳理团队成员责任心,做人做事认真、负责

4、合理划分团队成员职责、人物,确保工作高效运行

5、善于处理团队中产生的矛盾、分歧、以最小化影响进行处理

6、积极为团队成员排忧解难,全身心投入工作

7、建立培训计划,定期组织团队进行内部技能培训和分享,提升团队能力

六、职业规划

1、自己心里要有计划,但最好在五年之内逐步提升自己的技术实力

2、如果对渗透测试没有兴趣了,要趁早选择自己的第二职业,别耽误事

3、合理时间范围内、可以适当选择跳槽,融入可以提升你自己的企业

4、要逐步从技术向管理转变、学习管理方法,提高管理能力

5、要逐步扩大自己的人际圈子,千万不要束缚自己的交际范围

6、想要创业的朋友,要了解公司管理和财务管理方面的知识,千万别盲目创业

7、准备研发产品的朋友,一定要注意你研发的产品,是否能解决用户的痛点

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 测试工程师
    +关注

    关注

    6

    文章

    124

    浏览量

    12414
收藏 人收藏

    评论

    相关推荐

    寻求专业工程师帮助设计USB多口充电器

    嗨, 我正在开发款USB多口充电器,现寻求一位专业工程师或产品设计的帮助。希望能够与有经验工程师
    发表于 08-05 12:03

    嵌入式软件工程师如何提升自己?

    ,可以为自己的职业生涯打下坚实的基础,并实现个人的职业目标。愿每一位嵌入式软件工程师都能在这个充满挑战和机遇的领域中取得成功!
    发表于 06-12 11:20

    嵌入式软件工程师和硬件工程师的区别?

    嵌入式软件工程师和硬件工程师的区别? 嵌入式软件工程师 嵌入式软件工程师是软件开发领域中的种专业工程师
    发表于 05-16 11:00

    大厂电子工程师常见面试题#电子工程师 #硬件工程师 #电路知识 #面试题

    电子工程师电路
    安泰小课堂
    发布于 :2024年04月30日 17:33:15

    款适合嵌入式工程师使用的在线工具

    款适合嵌入式工程师使用的在线工具,工具有如下功能,如下图所示: 1. 报文校验功能,如下图所示 2. UDP服务端测试工具:该UDP服务端工具可以理解为 “UDP服务端” 或者 “服务器
    发表于 04-09 22:20

    为何国外工程师偏爱使用for(;;)来实现MCU死循环?

    一位工程师发现,国外工程师在给demo在做死循环时用的是for(;;),而不是常用的while(1)。这仅仅是个人习惯的问题,还是有更深层次的含义?
    发表于 04-01 11:26 584次阅读
    为何国外<b class='flag-5'>工程师</b>偏爱使用for(;;)来实现MCU死循环?

    如何搞崩个硬件工程师心态?试试对ta说这几句

    硬件工程师
    扬兴科技
    发布于 :2024年02月20日 18:05:49

    为什么要做自动化测试测试工程师存在的必然性

    软件测试这个过程的实施主体就是测试工程师。那么多少个测试工程师比较合适呢,或者换句话说如上的事情必须要测试工程师完成吗?
    的头像 发表于 01-16 11:32 874次阅读

    【2023电子工程师大会】我和LabVIEW:工程师经验分享pp

    【2023电子工程师大会】我和LabVIEW:工程师经验分享ppt
    发表于 01-03 16:31 15次下载

    优秀电源工程师的必备技能大揭秘!

    随着电源市场的不断扩张,开关电源行业飞速发展,企业对电源工程师的需求日益增加,对电源工程师的技能要求也日渐提高,相信没有一位电源工程师会错过让自己变得更优秀的机会。作为
    的头像 发表于 12-19 08:23 1679次阅读
    优秀电源<b class='flag-5'>工程师</b>的必备技能大揭秘!

    【热招】苏州,单片机工程师

    【单片机工程师】 3年及以上经验,要求有智能产品经验。 岗位职责: 1、根据MRD,与产品部等部门的需求,负责对新开发的产品进行可行性分析,主要负责分析产品的软件可实现性; 2、根据产品需求,完成
    发表于 11-28 14:02