這周參加360的補天大會聽了一位滲透大佬的分享,感覺獲益匪淺。
1、客戶系統,之前做過滲透測試,我們要怎麼做?
深入了解客戶系統,一絲不苟發現系統深層次漏洞。
2、客戶系統,部署了防火牆,我們要怎麼做?
可以繞過防火牆進行測試,比如通過内部wifi的手段等。客戶已有的安全防護,不一定安全,很容易被繞過。
3、客戶系統,采用ukey登入,還需要滲透嗎?
ukey的安全性也需要驗證,之前有ukey發送一個驗證,然後這個驗證可以重複使用的情況。
4、客戶系統,網絡協定是加密的,抓不到資料包,怎麼辦?
嘗試一些破解的方式,對授權系統進行滲透時,最好别對其他系統進行測試
5、客戶系統,好像是靜态頁面,搞不進去,怎麼辦?
抓資料包,尋找有動态互動的地方。
6、客戶系統,我們要不要上掃描器進行掃描?
盡量不要用掃描器,降低對客戶系統的傷害,特别是敏感關鍵系統,也别内網滲透。敏感系統進行測試,最好申請搭建測試環境,或申請賬号。
7、客戶系統,滲透測試發現好像已經入侵,怎麼辦?
發現被入侵迹象,要及時通知客戶,并随時準備應急響應
1、每次滲透測試項目,客戶系統都會是你成長的老師
2、從滲透測試過程中了解自身的不足,然後用行動去彌補不足之處
3、要善于和比自己強的人進行溝通,交流、請教和學習
4、要不斷的擴充自己的知識面,不斷地提升自己的應對能力
5、遇事不要退縮,要有信心,堅信自己可以完成每一項任務挑戰
6、知識論壇、圈子、雜志、周刊、漏洞平台都可以給予你營養
7、适當參加一些網絡安全比賽,積累比賽經驗,培養良好素質
1、滲透之前要問清楚客戶需求,哪些底線或原則是不能觸碰的
2、滲透測試項目中要尊重客戶的選擇,如有特殊需求要向客戶提
3、滲透測試結束後,要及時跟客戶做一個簡單工作彙報
4、工作中如遇到阻力或者客戶對工作不滿意,千萬别找理由,要及時跟上司彙報
5、碰到自己不擅長的項目,在客戶面前要低調一點,要及時找同僚幫助
6、認清自己的角色,客戶提的需求,要向上司進行彙報,請上司訓示
7、滲透測試後擷取的敏感系統文檔。資料、要跟客戶表述會進行删除處理
1、組建公司内部的資訊安全實驗室、模拟驗證最新網絡攻防實戰環境
2、對符合自身業務的漏洞進行跟蹤,還原攻擊方式、利用成本和漏洞修複
3、攻防實戰從人與系統的對抗,上升至人與人之間的較量
4、建立完善的攻擊監控系統,對内外防禦要做到有情能查,有情必究
5、紅藍雙方的攻防對抗,要逐漸行程常态化攻防演練
6、從不明攻擊的角度去量化攻擊的存在,并行程攻擊處置方法
7、漏洞防禦已經變的防不勝防,做好安全管控已經迫在眉睫
1、向團隊核心人物看齊,如果團隊沒有核心,那團隊就危險了
2、善于與團隊成員配合,取長補短,共同進步
3、梳理團隊成員責任心,做人做事認真、負責
4、合理劃分團隊成員職責、人物,確定工作高效運作
5、善于處理團隊中産生的沖突、分歧、以最小化影響進行處理
6、積極為團隊成員排憂解難,全身心投入工作
7、建立教育訓練計劃,定期組織團隊進行内部技能教育訓練和分享,提升團隊能力
1、自己心裡要有計劃,但最好在五年之内逐漸提升自己的技術實力
2、如果對滲透測試沒有興趣了,要趁早選擇自己的第二職業,别耽誤事
3、合理時間範圍内、可以适當選擇跳槽,融入可以提升你自己的企業
4、要逐漸從技術向管理轉變、學習管理方法,提高管理能力
5、要逐漸擴大自己的人際圈子,千萬不要束縛自己的交際範圍
6、想要創業的朋友,要了解公司管理和财務管理方面的知識,千萬别盲目創業
7、準備研發産品的朋友,一定要注意你研發的産品,是否能解決使用者的痛點
