這些天,我在2020年RSA安全行業(yè)大會(huì)上聽了一個(gè)滲透老板的經(jīng)驗(yàn)分享,我覺得我受益匪淺。1.滲透測(cè)試服務(wù)中的常見問題1。對(duì)于客戶網(wǎng)站系統(tǒng),我們之前已經(jīng)在其他安全公司做過滲透測(cè)試服務(wù),那么我們應(yīng)該如何接手呢?深入分析客戶程序,細(xì)致全面地發(fā)現(xiàn)程序中深層次的漏洞。2.如果客戶的程序部署了環(huán)境晶片防火墻服務(wù),我們應(yīng)該如何進(jìn)行?你也可以繞過網(wǎng)絡(luò)防火墻,進(jìn)行滲透測(cè)試,例如,你也可以使用內(nèi)部局域網(wǎng)的技術(shù)手段來測(cè)試??蛻衄F(xiàn)有的網(wǎng)站安全保護(hù)可能不安全,很容易被繞過。3.您還需要對(duì)使用ukey硬件設(shè)備進(jìn)行登錄驗(yàn)證的客戶端程序進(jìn)行安全滲透測(cè)試嗎?Ukey硬件設(shè)備的安全性也需要驗(yàn)證安全性測(cè)試。過去,在設(shè)備發(fā)送驗(yàn)證后,驗(yàn)證可以重復(fù)使用。4.客戶端程序、網(wǎng)絡(luò)層協(xié)議用SSL證書加密傳輸,傳輸?shù)臄?shù)據(jù)也進(jìn)行rsa加密,導(dǎo)致數(shù)據(jù)包無法被截獲。接下來我應(yīng)該做什么?嘗試一些常用的破解方法,如偽造https證書、重置協(xié)議以及對(duì)授權(quán)程序進(jìn)行滲透測(cè)試。切勿測(cè)試未經(jīng)授權(quán)的系統(tǒng)。5.客戶網(wǎng)站程序似乎是一個(gè)靜態(tài)網(wǎng)頁,所以它不能進(jìn)入滲透測(cè)試。那我該怎么辦?該網(wǎng)站一直專注于數(shù)據(jù)包分析,然后尋找具有動(dòng)態(tài)腳本交互功能的地方來發(fā)現(xiàn)問題。6、客戶的系統(tǒng)程序,我們需要掃描網(wǎng)站漏洞掃描器嗎?盡量不要使用漏洞掃描器來減少對(duì)客戶現(xiàn)有運(yùn)行系統(tǒng)的損害,尤其是敏感的關(guān)鍵程序,并且不要滲透到內(nèi)部網(wǎng)。對(duì)于要測(cè)試的敏感程序,最好申請(qǐng)建立測(cè)試環(huán)境,使用測(cè)試帳戶或申請(qǐng)帳戶。7.客戶端程序似乎在安全滲透測(cè)試中被入侵了。如何處理它?如果您發(fā)現(xiàn)任何黑客攻擊的跡象,您應(yīng)該立即通知客戶,并隨時(shí)準(zhǔn)備應(yīng)對(duì)安全問題的緊急響應(yīng)。2.積累實(shí)踐經(jīng)驗(yàn)。1.每次你深入客戶項(xiàng)目,客戶系統(tǒng)安全測(cè)試將是你成長(zhǎng)道路上的老師。2.從滲透測(cè)試過程中分析自身的缺點(diǎn),然后在未來的項(xiàng)目行動(dòng)中彌補(bǔ)這些缺點(diǎn)。3.善于與比自己強(qiáng)的人溝通、協(xié)商、咨詢和學(xué)習(xí)。4.我們應(yīng)該不斷擴(kuò)大我們的知識(shí)水平,不斷提高我們解決問題的能力。5.遇到困難時(shí)不要退縮,但要有自信,堅(jiān)信自己能完成每一項(xiàng)任務(wù)和挑戰(zhàn)。6.安全知識(shí)論壇和滲透
行業(yè)資訊
網(wǎng)站安全測(cè)試從業(yè)人員的經(jīng)驗(yàn)分析
瀏覽:418 時(shí)間:2021-9-2