这几天在2020RSAC安全行业盛会上听了一名渗透大佬的经验分享,感觉得益匪浅。
一、渗透测试服务中的常见问题
1、对客户网站系统,之前在其他几家安全公司做过渗透测试服务,那么我们接手的话要如何进行?深入深入分析客户程序,认真细致发现程序全方位、深层次漏洞。
2、如果客户的程序,部署了环境waf防火墙服务,我们要如何进行?还可以绕过web防火墙采取渗透测试,比如还可以通过内部局域网的技术手段去测试等。客户现有的网站安全防护,未必安全,非常容易被绕过。
3、客户程序,使用ukey硬件设备登录认证,还需要安全渗透测试吗?
Ukey硬件设备的安全性也需要验证安全测试,之前有过此设备发送一个验证后,随后这个验证还可以重复使用的情况。
4、客户程序,网络层协议是用的SSL证书加密传输的,传输数据这里也做了rsa加密导致截取不到数据包,接下来该怎么办?
试着一些常用到的破解方式,比如对https证书伪造,协议重置,对授权程序采取渗透测试时,千万不要去测试没有经过授权的系统哦.
5、客户网站程序,似乎是静态网页,无法进入渗透测试。我该怎么办?
网站中不断的去抓数据包分析,然后去寻找有动态脚本交互功能的地方查找问题。
6、客户的系统程序,我们需不需要上网站漏洞扫描器采取扫描?
尽量不要用漏洞扫描器,降低对客户现有正在运行系统的伤害,特别是比较敏感关键程序,也别内网渗透。比较敏感程序采取测试,最好是申请搭建测试环境,用测试账号或申请账号。
7、客户程序,在安全渗透测试发现好像已经被入侵了,该如何处理?
发现被黑客入侵的迹象,要马上告知客户,并随时准备应急响应处理安全问题
二、实战经验积累
1、每次渗透测试客户项目,客户系统安全测试都会是你成长道路上的老师。
2、从渗透测试过程中深入分析自身的不足,随后在以后的项目行动中去弥补不足之处。
3、要善于和比自身能力强的人采取沟通,洽谈、求教和进修。
4、要不断的扩充自身的知识层面,不停的提高自己的解决能力。
5、遇到困难不要退缩,要有自信心,坚信自身还可以完成每一项任务挑战。
6、安全知识论坛、渗透圈子、安全杂志、周刊、漏洞平台都可以给予你经验。
7、在空闲时间段经常参加一些网络安全比赛,积累比赛中的实战经验,培养良好响应处理素质。
三、客户关系处理
1、项目渗透之前要问明白客户需求,哪些底限或原则是不能触及的。
2、网站渗透测试项目中要多听取客户的选择和要求,如有特别的需求要向客户提出,并协商处理问题。
