這些天,我在2020年RSA安全行業大會上聽了一個滲透老板的經驗分享,我覺得我受益匪淺。1.滲透測試服務中的常見問題1。對于客戶網站系統,我們之前已經在其他安全公司做過滲透測試服務,那么我們應該如何接手呢?深入分析客戶程序,細致全面地發現程序中深層次的漏洞。2.如果客戶的程序部署了環境晶片防火墻服務,我們應該如何進行?你也可以繞過網絡防火墻,進行滲透測試,例如,你也可以使用內部局域網的技術手段來測試。客戶現有的網站安全保護可能不安全,很容易被繞過。3.您還需要對使用ukey硬件設備進行登錄驗證的客戶端程序進行安全滲透測試嗎?Ukey硬件設備的安全性也需要驗證安全性測試。過去,在設備發送驗證后,驗證可以重復使用。4.客戶端程序、網絡層協議用SSL證書加密傳輸,傳輸的數據也進行rsa加密,導致數據包無法被截獲。接下來我應該做什么?嘗試一些常用的破解方法,如偽造https證書、重置協議以及對授權程序進行滲透測試。切勿測試未經授權的系統。5.客戶網站程序似乎是一個靜態網頁,所以它不能進入滲透測試。那我該怎么辦?該網站一直專注于數據包分析,然后尋找具有動態腳本交互功能的地方來發現問題。6、客戶的系統程序,我們需要掃描網站漏洞掃描器嗎?盡量不要使用漏洞掃描器來減少對客戶現有運行系統的損害,尤其是敏感的關鍵程序,并且不要滲透到內部網。對于要測試的敏感程序,最好申請建立測試環境,使用測試帳戶或申請帳戶。7.客戶端程序似乎在安全滲透測試中被入侵了。如何處理它?如果您發現任何黑客攻擊的跡象,您應該立即通知客戶,并隨時準備應對安全問題的緊急響應。2.積累實踐經驗。1.每次你深入客戶項目,客戶系統安全測試將是你成長道路上的老師。2.從滲透測試過程中分析自身的缺點,然后在未來的項目行動中彌補這些缺點。3.善于與比自己強的人溝通、協商、咨詢和學習。4.我們應該不斷擴大我們的知識水平,不斷提高我們解決問題的能力。5.遇到困難時不要退縮,但要有自信,堅信自己能完成每一項任務和挑戰。6.安全知識論壇和滲透
行業資訊
網站安全測試從業人員的經驗分析
瀏覽:438 時間:2021-9-2