網(wǎng)站安全從業(yè)者 滲透測(cè)試經(jīng)驗(yàn)暢談

時(shí)間：2020-03-10作者：青島四海通達(dá)電子科技有限公司瀏覽：936

這幾天在2020RSAC安全行業(yè)盛會(huì)上聽了一名滲透大佬的經(jīng)驗(yàn)分享，感覺得益匪淺。

一、滲透測(cè)試服務(wù)中的常見問題

1、對(duì)客戶網(wǎng)站系統(tǒng)，之前在其他幾家安全公司做過滲透測(cè)試服務(wù)，那么我們接手的話要如何進(jìn)行？深入深入分析客戶程序，認(rèn)真細(xì)致發(fā)現(xiàn)程序*、深層次漏洞。

2、如果客戶的程序，部署了環(huán)境waf*墻服務(wù)，我們要如何進(jìn)行？還可以繞過web*墻采取滲透測(cè)試，比如還可以通過內(nèi)部局域網(wǎng)的技術(shù)手段去測(cè)試等?？蛻衄F(xiàn)有的網(wǎng)站安全防護(hù)，未必安全，非常*被繞過。

3、客戶程序，使用ukey硬件設(shè)備登錄認(rèn)證，還需要安全滲透測(cè)試嗎？

Ukey硬件設(shè)備的安全性也需要驗(yàn)證安全測(cè)試，之前有過此設(shè)備發(fā)送一個(gè)驗(yàn)證后，隨后這個(gè)驗(yàn)證還可以重復(fù)使用的情況。

4、客戶程序，網(wǎng)絡(luò)層協(xié)議是用的SSL證書加密傳輸?shù)?，傳輸?shù)據(jù)這里也做了rsa加密導(dǎo)致截取不到數(shù)據(jù)包，接下來該怎么辦？

試著一些常用到的破解方式，比如對(duì)https證書偽造，協(xié)議重置，對(duì)授權(quán)程序采取滲透測(cè)試時(shí)，千萬不要去測(cè)試沒有經(jīng)過授權(quán)的系統(tǒng)哦.

5、客戶網(wǎng)站程序，似乎是靜態(tài)網(wǎng)頁，無法進(jìn)入滲透測(cè)試。我該怎么辦？

網(wǎng)站中不斷的去抓數(shù)據(jù)包分析，然后去尋找有動(dòng)態(tài)腳本交互功能的地方查找問題。

6、客戶的系統(tǒng)程序，我們需不需要上網(wǎng)站漏洞掃描器采取掃描？

盡量不要用漏洞掃描器，降低對(duì)客戶現(xiàn)有正在運(yùn)行系統(tǒng)的傷害，特別是比較敏感關(guān)鍵程序，也別內(nèi)網(wǎng)滲透。比較敏感程序采取測(cè)試，較好是申請(qǐng)搭建測(cè)試環(huán)境，用測(cè)試賬號(hào)或申請(qǐng)賬號(hào)。

7、客戶程序，在安全滲透測(cè)試發(fā)現(xiàn)好像已經(jīng)被入侵了，該如何處理？

發(fā)現(xiàn)被黑客入侵的跡象，要馬上告知客戶，并隨時(shí)準(zhǔn)備應(yīng)急響應(yīng)處理安全問題

二、實(shí)戰(zhàn)經(jīng)驗(yàn)積累

1、每次滲透測(cè)試客戶項(xiàng)目，客戶系統(tǒng)安全測(cè)試都會(huì)是你成長道路上的老師。

2、從滲透測(cè)試過程中深入分析自身的不足，隨后在以后的項(xiàng)目行動(dòng)中去彌補(bǔ)不足之處。

3、要善于和比自身能力強(qiáng)的人采取溝通，洽談、求教和進(jìn)修。

4、要不斷的擴(kuò)充自身的知識(shí)層面，不停的提高自己的解決能力。

5、遇到困難不要退縮，要有自信心，堅(jiān)信自身還可以完成每一項(xiàng)任務(wù)挑戰(zhàn)。

6、安全知識(shí)論壇、滲透圈子、安全雜志、周刊、漏洞平臺(tái)都可以給予你經(jīng)驗(yàn)。

7、在空閑時(shí)間段經(jīng)常參加一些網(wǎng)絡(luò)安全比賽，積累比賽中的實(shí)戰(zhàn)經(jīng)驗(yàn)，培養(yǎng)良好響應(yīng)處理素質(zhì)。

三、客戶關(guān)系處理

1、項(xiàng)目滲透之前要問明白客戶需求，哪些底限或原則是不能觸及的。

2、網(wǎng)站滲透測(cè)試項(xiàng)目中要多聽取客戶的選擇和要求，如有特別的需求要向客戶提出，并協(xié)商處理問題。

3、滲透測(cè)試結(jié)束后，要馬上整理安全報(bào)告跟客戶做一個(gè)簡易工作情況匯報(bào)。

4、工作上如果遇到阻礙或者客戶對(duì)工作任務(wù)不令人滿意，千萬不要找借口，要馬上跟**干部匯報(bào)。

5、碰到自身不擅長的技術(shù)測(cè)試項(xiàng)目，在客戶面前要沉穩(wěn)一點(diǎn)，不要逞強(qiáng)，要馬上找其他同事協(xié)助。

6、了解自己的角色定位，客戶提的需求，要向**干部采取匯報(bào)，請(qǐng)**干部指示。

7、滲透測(cè)試后獲得的比較敏感程序文檔。數(shù)據(jù)、要跟客戶闡述會(huì)采取刪除處理。

四、攻防實(shí)戰(zhàn)演練

1、組建公司內(nèi)部的信息安全實(shí)驗(yàn)室、模擬驗(yàn)證較新網(wǎng)絡(luò)攻防實(shí)戰(zhàn)演練環(huán)境。

2、對(duì)符合自身業(yè)務(wù)的漏洞采取跟蹤，還原攻擊方式、利用成本和漏洞修復(fù)。

3、攻防實(shí)戰(zhàn)演練從人與機(jī)器的對(duì)抗，上升至人與人之間的較量。

4、建立全面的攻擊主動(dòng)防御監(jiān)控系統(tǒng)，對(duì)內(nèi)外防護(hù)要做到有攻擊必查，尋找根源漏洞原因。

5、**知攻擊的角度去量化分析攻擊的存在，并行程攻擊應(yīng)急處置方法。

6、網(wǎng)站漏洞防護(hù)已經(jīng)變的防不勝防，做好安全管控已經(jīng)刻不容緩。

五、安全職業(yè)規(guī)劃

1、自身內(nèi)心要有計(jì)劃方案，但較好是在五年之內(nèi)逐步提高自己的滲透技術(shù)實(shí)力。

2、如果對(duì)滲透測(cè)試沒有興趣了，要盡早選擇自身的其他職業(yè)，別耽擱事業(yè)。

3、合理時(shí)間段范圍內(nèi)、還可以適當(dāng)選擇跳槽，融入到還可以提升你自身的企業(yè)。

4、要一步一步的從技術(shù)職業(yè)向管理職業(yè)轉(zhuǎn)型、進(jìn)修管理方法，提高**能力。

5、要進(jìn)一步增加自身的人際圈子，千萬不要拘束自身的人際交往范圍。

6、想要自己做滲透測(cè)試公司創(chuàng)業(yè)的朋友，要深入分析公司管理和財(cái)務(wù)會(huì)計(jì)方面的知識(shí)，千萬不要草率創(chuàng)業(yè)。

7、準(zhǔn)備搞安全防護(hù)研發(fā)產(chǎn)品的朋友，一定要注意你開發(fā)的安全產(chǎn)品，是否能解決用戶的實(shí)際問題。

8、如果企業(yè)或個(gè)人想要對(duì)自己的系統(tǒng)或平臺(tái)進(jìn)行安全滲透測(cè)試像要查找漏洞的話可以咨詢專業(yè)的網(wǎng)站安全公司,國內(nèi)像Sinesafe,鷹盾安全,啟**辰以及綠盟都是比較不錯(cuò)的可以選擇。


青島四海通達(dá)電子科技有限公司專注于服務(wù)器安全,網(wǎng)絡(luò)安全公司,網(wǎng)站安全防護(hù),網(wǎng)站漏洞檢測(cè),滲透測(cè)試,網(wǎng)站安全,網(wǎng)站漏洞掃描,網(wǎng)站安全檢測(cè)等, 歡迎致電 13280888826

• 詞條

  詞條說明

• 網(wǎng)站快照被攻擊篡改怎么辦

  昨天我的網(wǎng)站出現(xiàn)了問題，我有一個(gè)醫(yī)療設(shè)備的網(wǎng)站，然后就是百度搜索，你百度搜索關(guān)鍵詞后，然后出來了一個(gè)出來我的網(wǎng)站，但是他點(diǎn)擊進(jìn)去以后，他直接跳轉(zhuǎn)到一個(gè)游戲界面了，然后我問我的那個(gè)技術(shù)員，他說網(wǎng)站被木馬劫持了，應(yīng)該是網(wǎng)站，可能是被掛木馬了什么的，然后我技術(shù)員說了一句話挺搞笑的，他說黑客攻擊你的網(wǎng)站，在你網(wǎng)站上掛木馬，說明就被掛了后門什么的，說明你的網(wǎng)站有潛力哈哈。當(dāng)時(shí)我就感覺非常搞笑，然后技術(shù)員修復(fù)

• 網(wǎng)站安全防護(hù)常用的方法

  以下是一些常用的網(wǎng)站安全防護(hù)方法：較新系統(tǒng)和軟件：定期較新操作系統(tǒng)和應(yīng)用程序，及時(shí)修補(bǔ)已知漏洞，提高系統(tǒng)的安全性。安裝*墻和殺毒軟件：安裝*墻和殺毒軟件，以防止軟件和網(wǎng)絡(luò)攻擊。使用SSL證書：使用SSL證書對(duì)網(wǎng)站進(jìn)行加密，保護(hù)用戶數(shù)據(jù)的機(jī)密性和完整性。采用安全的密碼策略：采用多因素身份驗(yàn)證機(jī)制，設(shè)置復(fù)雜且難以猜測(cè)的密碼，避免使用默認(rèn)密碼或弱密碼。使用Web應(yīng)用*墻（WAF）：使用WAF檢測(cè)和

• 服務(wù)器被攻擊 如何查看異常進(jìn)程以及網(wǎng)站木馬檢查

  目前越來越多的服務(wù)器被入侵，以及攻擊事件頻頻的發(fā)生，像數(shù)據(jù)被竊取，數(shù)據(jù)庫被篡改，用戶數(shù)據(jù)被脫褲，網(wǎng)站被強(qiáng)制跳轉(zhuǎn)到惡意網(wǎng)站上，網(wǎng)站在百度的快照被劫持，等等的攻擊癥狀層出不窮，當(dāng)我們的服務(wù)器被攻擊，被黑的時(shí)候我們**時(shí)間該怎么去處理解決呢?如何排查服務(wù)器被入侵攻擊的痕跡呢?是否有應(yīng)急處理方案，在不影響網(wǎng)站訪問的情況下，很多客戶出現(xiàn)以上攻擊情況的時(shí)候，找到我們SINE安全來處理解決服務(wù)器被攻擊問題，我們

• 軟件如何轉(zhuǎn)滲透？

  隨著時(shí)代的不斷發(fā)展，軟件越來越難做。各種自動(dòng)化工具很常見，00后開始搶飯碗(開玩笑)。軟件：（Software Testing），一個(gè)用于促進(jìn)識(shí)別軟件的正確性、完整性、安全性和質(zhì)量的過程。換句話說，軟件是一個(gè)審查或比較實(shí)際輸出和預(yù)期輸出之間的過程。軟件的經(jīng)典定義是在規(guī)定的條件下操作程序，以發(fā)現(xiàn)程序錯(cuò)誤，測(cè)量軟件質(zhì)量，并評(píng)估它是否能滿足設(shè)計(jì)要求。軟件離不開工具。通過一些工具，可以直觀地向人員展示一些