0x00 前言
為了更好地學習安全方面的知識,本文特此推薦一些路線,友善以後的學習,在此本文讨論了思路,但限于篇幅,故僅介紹核心思想,具體的操作,本文會給出一些參考連結,友善讀者查閱。
0x01 職位描述
1 負責安全服務項目中的實施部分,包括:漏洞掃描、滲透測試、安全基線檢查、代碼審計、應急響應等。
2 爆發高危漏洞後時進行安全漏洞的分析應急;及時清除木馬後門,加強業務系統伺服器。
3 熟悉各大安全廠商的安全産品,對公司安全産品的後端支援以及故障解決。
4 掌握辦公軟體等專業文檔編寫技巧,能夠獨立編寫安全事件報告。
5 跟蹤和分析資訊安全業界最新安全漏洞、發展趨勢和解決方案。
0x02 職位要求
1 熟悉主流的Web安全技術,包括SQL注入、XSS、CSRF、一句話木馬等安全風險。
2 熟悉國内外主流安全産品和工具,如:Nessus、Nmap、AWVS、Burp、Appscan等。
3 熟悉windows、linux平台滲透測試、後門分析、加強。
4 至少掌握一門程式設計語言C/C++/Perl/Python/PHP/Go/Java等。
5 熟悉滲透測試的步驟、方法、流程,具有Web安全實戰經驗;
6 熟悉常見安全攻防技術,對網絡安全、系統安全、應用安全有深入的了解和自己的認識。
7 對Web安全整體有深刻了解,具備代碼審計和獨立漏洞挖掘能力。
8 具有較強的團隊意識,高度的責任感,文檔、方案能力優秀者優先。
0x03 學習路線
3.1 基本技能--基本IT操作
1. 科學的工作環境,學會使用翻牆、代理上網等。
2. 大多數情況下,滲透測試品質中技術能力占40%,報告書寫占60%,必須熟練掌握各種word、exel基本功能。
3. 浏覽器插件與技巧。
4. 網絡配置與分析。
3.2 前期安全知識的補充學習
- 熟悉基本的安全術語和概念(SQL注入、上傳漏洞、XSS、CSRF、一句話木馬、滲透測試、應急響應、風險評估、等級保護等)。
- 閱讀OWASP TOP 10 從漏洞分類和漏洞成因尋找安全漏洞的切入點 Link 。
- 閱讀經典的網絡安全相關書籍 Link 。
- 安全資訊來源:Secwiki、Freebuf、91ri、Wooyun等。
3.3 安全工具使用
- 綜合漏洞掃描工具的安裝使用:Nessus、X-scan、Nexpose等。
- Web漏洞掃描的工具的安裝使用和漏洞驗證:AppScan、AWVS、WebInspect等。
- 輔助工具的安裝和使用:Nmap、Burp Suite、Sqlmap、wireshark、iptables等。
- 輔助腳本的收集和修改:各種漏洞利用的Exploit、定制化高的掃描腳本、字典等。
- 自家安全裝置政策部署和使用。
3.4滲透測試
- 網上找滲透視訊看并思考其中的思路和原理,關鍵字(滲透、SQL注入視訊、檔案上傳入侵、資料庫備份、dedecms漏洞利用等等)。
- 自己找站點/搭建測試環境進行測試,記住請隐藏好你自己。
- 思考滲透主要分為幾個階段,每個階段需要做那些工作,例如這個:PTES滲透測試執行标準。
- 研究SQL注入的種類、注入原理、手動注入技巧。
- 研究檔案上傳的原理,如何進行截斷、雙重字尾欺騙(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,參照:上傳攻擊架構。
- 研究XSS形成的原理和種類,具體學習方法可以Google/SecWiki,可以參考:XSS。
- 研究Windows/Linux提權的方法和具體使用,可以參考:提權。
- 可以參考: 開源滲透測試脆弱系統。
- 滲透測試流程:《滲透測試授權書》規定滲透時間和範圍、《滲透測試免責書》描述滲透測試可能帶來的危害、規定時間實施滲透測試,輸出《滲透測試報告》,指導甲方進行漏洞修複。
3.5 安全基線檢查
- 不同的客戶,不同的業務系統,有不同的安全基線文檔,大緻分類無外乎幾種:從賬戶、授權、更新檔、日志、備援端口和服務等層面對主機系統、中間件和資料庫進行配置[檢查]。
- 閱讀外網流出的各家廠商的安全基線檢查内容,如:營運商-移動 Link 。
- 掌握不同版本的配置方法和配置項,可自行安裝系統、中間件、資料庫進行實操。
- Windows2003/2008環境下的IIS配置,特别注意配置安全和運作權限,可以參考:SecWiki-配置。
- Linux環境下的LAMP的安全配置,主要考慮運作權限、跨目錄、檔案夾權限等,可以參考:SecWiki-配置。
- 遠端系統加強,限制使用者名和密碼登陸,通過iptables限制端口。
- 配置軟體Waf加強系統安全,在伺服器配置mod_security等系統,參見SecWiki-ModSecurity。
- 通過Nessus軟體對配置環境進行安全檢測,發現未知安全威脅。
3.6 應急響應
- 應急響應流程可分為兩類:實時性應急響應和入侵後應急響應。
- 實時性應急響應:大多為DDOS攻擊,首要進行流量分析,若流量打滿,能做的就是反查攻擊IP,逆向滲透;若網絡裝置會話數被打滿或者主機系統的CPU、記憶體、會話數被打滿,可通過交換機做端口鏡像,使用wireshark、tcpdump進行抓包,分析流量特征,确認攻擊類型,在網絡裝置或安全裝置上做相應阻斷政策。
- 攻擊後應急響應:通過分析惡意檔案和日志,查找入侵來源IP和入侵者所利用的漏洞,提出漏洞修補方案,并逆向追蹤入侵者。
- 應急響應對工程師的要求較為複雜,需多熟悉不同作業系統、應用、中間件、資料庫特性,且能熟練使用程式設計語言或者vim等編輯器對較大的日志進行資料整理,還需要日常多多積累各種攻擊特征和防護政策。
- 多閱讀網上已有的應急響應的文檔,學習逆向分析思路。
3.7代碼審計
- 熟悉代碼審計工具的安裝使用,可參考SecWiki上的文章 Link 。
- 根據工具報告驗證問題是否為誤報,并跟蹤分析。
- 參看各大資訊平台、論壇、舊雜志的文章,學習白盒分析思路。
- Exploit編寫。
3.8 安全邊界建設
- 安全邊界檢查的工作重點可總結為:根據是各個資訊區域否需要外網接入、是否需要通路内部核心網絡等行為特點,将資訊安全系統劃分為邊界接入域、網絡基礎設施域、計算機安全域、運維管理域,并對現有網絡是否有按照該标準做相應的安全域劃分,或判斷其劃分是否合理。
- 可參考規範:IATF Link。
3.9 安全規範
- 除去技術細節了,尚有不少風險評估和等級保護測評的工作,直接讀規範有助對項目全局的把控。
- 國标規範有:
- 《資訊系統安全等級保護基本要求》 ---中國等級保護網
- 《資訊安全風險評估規範》--
- 行業規範有:
- 《網銀121号文》 ;
- 《中國銀聯移動支付技術規範》
3.10關注安全圈動态
- 通過SecWiki浏覽每日的安全技術文章/事件。
- 通過Weibo/twitter關注安全圈的從業人員(遇到大牛的關注或者好友果斷關注),天天抽時間刷一下。
- 通過feedly/鮮果訂閱國内外安全技術部落格(不要僅限于國内,平時多注意積累),沒有訂閱源的可以看一下SecWiki的聚合欄目。
- 養成習慣,每天主動送出安全技術文章連結到SecWiki進行積澱。
- 多關注下最新漏洞清單,推薦幾個:exploit-db、CVE中文庫、Wooyun等,遇到公開的漏洞都去實踐下。
- 關注國内國際上的安全會議的議題或者錄像,推薦SecWiki-Conference。
4 其他事項
1. 工作郵件--郵件主題、抄送對象、密送對象、正文稱呼、内容主題格式、結尾語、聯系方式等等。 2. 優先響應上級的需求--例如在微信群、QQ群、郵件、電話、短信等等方式的即時回複。 3. 平時多向上司打招呼等等==============================================
5 參考連結
1. 安全服務工程師 https://www.sec-wiki.com/skill/11 2. Web安全工程師 https://www.sec-wiki.com/skill/2 3. Web安全研發工程師 https://www.sec-wiki.com/skill/3 4. 安全運維工程師 https://www.sec-wiki.com/skill/4 5 安全測試工程師 https://www.sec-wiki.com/skill/5
歡迎大家分享更好的思路,熱切期待^^_ ^^ !!!