搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評論與回復
      VIP于 到期 續(xù)費
      登錄后你可以
      • 下載海量資料
      • 學習在線課程
      • 觀看技術(shù)視頻
      • 寫文章/發(fā)帖/加入社區(qū)
      會員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動

      完善資料讓更多小伙伴認識你,還能領(lǐng)取20積分哦,立即完善>

      3天內(nèi)不再提示

      一位滲透測試工程師的經(jīng)驗分享

      工程師人生 ? 來源:網(wǎng)絡整理 ? 作者:工程師吳畏 ? 2018-08-22 11:12 ? 次閱讀

      這周參加360的補天大會聽了一位滲透大佬的分享,感覺獲益匪淺。

      一、常見問題

      1、客戶系統(tǒng),之前做過滲透測試,我們要怎么做?

      深入了解客戶系統(tǒng),一絲不茍發(fā)現(xiàn)系統(tǒng)深層次漏洞。

      2、客戶系統(tǒng),部署了防火墻,我們要怎么做?

      可以繞過防火墻進行測試,比如通過內(nèi)部wifi的手段等??蛻粢延械陌踩雷o,不一定安全,很容易被繞過。

      3、客戶系統(tǒng),采用Ukey登錄,還需要滲透嗎?

      Ukey的安全性也需要驗證,之前有ukey發(fā)送一個驗證,然后這個驗證可以重復使用的情況。

      4、客戶系統(tǒng),網(wǎng)絡協(xié)議是加密的,抓不到數(shù)據(jù)包,怎么辦?

      嘗試一些破解的方式,對授權(quán)系統(tǒng)進行滲透時,最好別對其他系統(tǒng)進行測試

      5、客戶系統(tǒng),好像是靜態(tài)頁面,搞不進去,怎么辦?

      抓數(shù)據(jù)包,尋找有動態(tài)交互的地方。

      6、客戶系統(tǒng),我們要不要上掃描器進行掃描?

      盡量不要用掃描器,降低對客戶系統(tǒng)的傷害,特別是敏感關(guān)鍵系統(tǒng),也別內(nèi)網(wǎng)滲透。敏感系統(tǒng)進行測試,最好申請搭建測試環(huán)境,或申請賬號。

      7、客戶系統(tǒng),滲透測試發(fā)現(xiàn)好像已經(jīng)入侵,怎么辦?

      發(fā)現(xiàn)被入侵跡象,要及時通知客戶,并隨時準備應急響應

      二、知識積累

      1、每次滲透測試項目,客戶系統(tǒng)都會是你成長的老師

      2、從滲透測試過程中了解自身的不足,然后用行動去彌補不足之處

      3、要善于和比自己強的人進行溝通,交流、請教和學習

      4、要不斷的擴充自己的知識面,不斷地提升自己的應對能力

      5、遇事不要退縮,要有信心,堅信自己可以完成每一項任務挑戰(zhàn)

      6、知識論壇、圈子、雜志、周刊、漏洞平臺都可以給予你營養(yǎng)

      7、適當參加一些網(wǎng)絡安全比賽,積累比賽經(jīng)驗,培養(yǎng)良好素質(zhì)

      三、關(guān)系處理

      1、滲透之前要問清楚客戶需求,哪些底線或原則是不能觸碰的

      2、滲透測試項目中要尊重客戶的選擇,如有特殊需求要向客戶提

      3、滲透測試結(jié)束后,要及時跟客戶做一個簡單工作匯報

      4、工作中如遇到阻力或者客戶對工作不滿意,千萬別找理由,要及時跟領(lǐng)導匯報

      5、碰到自己不擅長的項目,在客戶面前要低調(diào)一點,要及時找同事幫助

      6、認清自己的角色,客戶提的需求,要向領(lǐng)導進行匯報,請領(lǐng)導指示

      7、滲透測試后獲取的敏感系統(tǒng)文檔。數(shù)據(jù)、要跟客戶表述會進行刪除處理

      四、攻防實戰(zhàn)

      1、組建公司內(nèi)部的信息安全實驗室、模擬驗證最新網(wǎng)絡攻防實戰(zhàn)環(huán)境

      2、對符合自身業(yè)務的漏洞進行跟蹤,還原攻擊方式、利用成本和漏洞修復

      3、攻防實戰(zhàn)從人與系統(tǒng)的對抗,上升至人與人之間的較量

      4、建立完善的攻擊監(jiān)控系統(tǒng),對內(nèi)外防御要做到有情能查,有情必究

      5、紅藍雙方的攻防對抗,要逐步行程常態(tài)化攻防演練

      6、從不明攻擊的角度去量化攻擊的存在,并行程攻擊處置方法

      7、漏洞防御已經(jīng)變的防不勝防,做好安全管控已經(jīng)迫在眉睫

      五、團隊建設(shè)

      1、向團隊核心人物看齊,如果團隊沒有核心,那團隊就危險了

      2、善于與團隊成員配合,取長補短,共同進步

      3、梳理團隊成員責任心,做人做事認真、負責

      4、合理劃分團隊成員職責、人物,確保工作高效運行

      5、善于處理團隊中產(chǎn)生的矛盾、分歧、以最小化影響進行處理

      6、積極為團隊成員排憂解難,全身心投入工作

      7、建立培訓計劃,定期組織團隊進行內(nèi)部技能培訓和分享,提升團隊能力

      六、職業(yè)規(guī)劃

      1、自己心里要有計劃,但最好在五年之內(nèi)逐步提升自己的技術(shù)實力

      2、如果對滲透測試沒有興趣了,要趁早選擇自己的第二職業(yè),別耽誤事

      3、合理時間范圍內(nèi)、可以適當選擇跳槽,融入可以提升你自己的企業(yè)

      4、要逐步從技術(shù)向管理轉(zhuǎn)變、學習管理方法,提高管理能力

      5、要逐步擴大自己的人際圈子,千萬不要束縛自己的交際范圍

      6、想要創(chuàng)業(yè)的朋友,要了解公司管理和財務管理方面的知識,千萬別盲目創(chuàng)業(yè)

      7、準備研發(fā)產(chǎn)品的朋友,一定要注意你研發(fā)的產(chǎn)品,是否能解決用戶的痛點

      聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學習之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
      • 測試工程師
        +關(guān)注

        關(guān)注

        6

        文章

        124

        瀏覽量

        12445
      收藏 人收藏

        評論

        相關(guān)推薦

        嵌入式工程師常用的開發(fā)工具有哪些?

        開發(fā)。通過分支管理,工程師可以在不影響主分支的情況下進行新功能的開發(fā)和測試,提高開發(fā)效率和代碼質(zhì)量。 五、硬件仿真器 硬件仿真器可以在沒有實際硬件的情況下模擬目標系統(tǒng)的運行。例如,些高端的硬件
        發(fā)表于 12-20 15:29

        Keysight助力提升工程師測試測量知識水平

        Keysight為您解鎖測試測量領(lǐng)域的最新知識,助力工程師在快速變化的科技環(huán)境中保持競爭力。
        的頭像 發(fā)表于 10-16 09:28 ?429次閱讀

        尋求專業(yè)工程師幫助設(shè)計USB多口充電器

        嗨, 我正在開發(fā)款USB多口充電器,現(xiàn)尋求一位專業(yè)工程師或產(chǎn)品設(shè)計的幫助。希望能夠與有經(jīng)驗工程師
        發(fā)表于 08-05 12:03

        嵌入式軟件工程師如何提升自己?

        ,可以為自己的職業(yè)生涯打下堅實的基礎(chǔ),并實現(xiàn)個人的職業(yè)目標。愿每一位嵌入式軟件工程師都能在這個充滿挑戰(zhàn)和機遇的領(lǐng)域中取得成功!
        發(fā)表于 06-12 11:20

        嵌入式軟件工程師和硬件工程師的區(qū)別?

        嵌入式軟件工程師和硬件工程師的區(qū)別? 嵌入式軟件工程師 嵌入式軟件工程師是軟件開發(fā)領(lǐng)域中的種專業(yè)工程師
        發(fā)表于 05-16 11:00

        大廠電子工程師常見面試題#電子工程師 #硬件工程師 #電路知識 #面試題

        電子工程師電路
        安泰小課堂
        發(fā)布于 :2024年04月30日 17:33:15

        款適合嵌入式工程師使用的在線工具

        款適合嵌入式工程師使用的在線工具,工具有如下功能,如下圖所示: 1. 報文校驗功能,如下圖所示 2. UDP服務端測試工具:該UDP服務端工具可以理解為 “UDP服務端” 或者 “服務器
        發(fā)表于 04-09 22:20

        為何國外工程師偏愛使用for(;;)來實現(xiàn)MCU死循環(huán)?

        一位工程師發(fā)現(xiàn),國外工程師在給demo在做死循環(huán)時用的是for(;;),而不是常用的while(1)。這僅僅是個人習慣的問題,還是有更深層次的含義?
        發(fā)表于 04-01 11:26 ?661次閱讀
        為何國外<b class='flag-5'>工程師</b>偏愛使用for(;;)來實現(xiàn)MCU死循環(huán)?

        一位硬件工程師的歷練之路:從入門學習理論到... #搞笑 #硬件工程師 #電子工程師 #揚興科技

        硬件工程師揚興科技
        揚興科技
        發(fā)布于 :2024年03月13日 17:50:21

        如何搞崩個硬件工程師心態(tài)?試試對ta說這幾句

        硬件工程師
        揚興科技
        發(fā)布于 :2024年02月20日 18:05:49

        優(yōu)秀電源工程師需要哪些必備技能?

        隨著電源市場的不斷擴張,開關(guān)電源行業(yè)飛速發(fā)展,企業(yè)對電源工程師的需求日益增加,對電源工程師的技能要求也日漸提高,相信沒有一位電源工程師會錯過讓自己變得更優(yōu)秀的機會。作為
        發(fā)表于 01-29 11:29

        為什么要做自動化測試?測試工程師存在的必然性

        軟件測試這個過程的實施主體就是測試工程師。那么多少個測試工程師比較合適呢,或者換句話說如上的事情必須要測試工程師完成嗎?
        的頭像 發(fā)表于 01-16 11:32 ?940次閱讀