网站渗透测试 客户需求问题总结经验分析

简介:

这几天在2020RSAC安全行业盛会上听了一名渗透大佬的经验分享,感觉得益匪浅。

_yougemeigong_SmartPicture_20200309_132

一、渗透测试服务中的常见问题

1、对客户网站系统,之前在其他几家安全公司做过渗透测试服务,那么我们接手的话要如何进行?深入深入分析客户程序,认真细致发现程序全方位、深层次漏洞。

2、如果客户的程序,部署了环境waf防火墙服务,我们要如何进行?还可以绕过web防火墙采取渗透测试,比如还可以通过内部局域网的技术手段去测试等。客户现有的网站安全防护,未必安全,非常容易被绕过。

3、客户程序,使用ukey硬件设备登录认证,还需要安全渗透测试吗?

Ukey硬件设备的安全性也需要验证安全测试,之前有过此设备发送一个验证后,随后这个验证还可以重复使用的情况。

4、客户程序,网络层协议是用的SSL证书加密传输的,传输数据这里也做了rsa加密导致截取不到数据包,接下来该怎么办?

试着一些常用到的破解方式,比如对https证书伪造,协议重置,对授权程序采取渗透测试时,千万不要去测试没有经过授权的系统哦.

5、客户网站程序,似乎是静态网页,无法进入渗透测试。我该怎么办?

网站中不断的去抓数据包分析,然后去寻找有动态脚本交互功能的地方查找问题。

6、客户的系统程序,我们需不需要上网站漏洞扫描器采取扫描?

尽量不要用漏洞扫描器,降低对客户现有正在运行系统的伤害,特别是比较敏感关键程序,也别内网渗透。比较敏感程序采取测试,最好是申请搭建测试环境,用测试账号或申请账号。

7、客户程序,在安全渗透测试发现好像已经被入侵了,该如何处理?

发现被黑客入侵的迹象,要马上告知客户,并随时准备应急响应处理安全问题

_yougemeigong_SmartPicture_20200309_296

二、实战经验积累

1、每次渗透测试客户项目,客户系统安全测试都会是你成长道路上的老师。

2、从渗透测试过程中深入分析自身的不足,随后在以后的项目行动中去弥补不足之处。

3、要善于和比自身能力强的人采取沟通,洽谈、求教和进修。

4、要不断的扩充自身的知识层面,不停的提高自己的解决能力。

5、遇到困难不要退缩,要有自信心,坚信自身还可以完成每一项任务挑战。

6、安全知识论坛、渗透圈子、安全杂志、周刊、漏洞平台都可以给予你经验。

7、在空闲时间段经常参加一些网络安全比赛,积累比赛中的实战经验,培养良好响应处理素质。

三、客户关系处理

1、项目渗透之前要问明白客户需求,哪些底限或原则是不能触及的。

2、网站渗透测试项目中要多听取客户的选择和要求,如有特别的需求要向客户提出,并协商处理问题。

3、渗透测试结束后,要马上整理安全报告跟客户做一个简易工作情况汇报。

4、工作上如果遇到阻碍或者客户对工作任务不令人满意,千万不要找借口,要马上跟领导干部汇报。

5、碰到自身不擅长的技术测试项目,在客户面前要沉稳一点,不要逞强,要马上找其他同事协助。

6、了解自己的角色定位,客户提的需求,要向领导干部采取汇报,请领导干部指示。

7、渗透测试后获得的比较敏感程序文档。数据、要跟客户阐述会采取删除处理。

_yougemeigong_SmartPicture_20200309_482

四、攻防实战演练

1、组建公司内部的信息安全实验室、模拟验证最新网络攻防实战演练环境。

2、对符合自身业务的漏洞采取跟踪,还原攻击方式、利用成本和漏洞修复。

3、攻防实战演练从人与机器的对抗,上升至人与人之间的较量。

4、建立全面的攻击主动防御监控系统,对内外防护要做到有攻击必查,寻找根源漏洞原因。

5、从未知攻击的角度去量化分析攻击的存在,并行程攻击应急处置方法。

6、网站漏洞防护已经变的防不胜防,做好安全管控已经刻不容缓。

五、安全职业规划

1、自身内心要有计划方案,但最好是在五年之内逐步提高自己的渗透技术实力。

2、如果对渗透测试没有兴趣了,要尽早选择自身的其他职业,别耽搁事业。

3、合理时间段范围内、还可以适当选择跳槽,融入到还可以提升你自身的企业。

4、要一步一步的从技术职业向管理职业转型、进修管理方法,提高领导能力。

5、要进一步增加自身的人际圈子,千万不要拘束自身的人际交往范围。

6、想要自己做渗透测试公司创业的朋友,要深入分析公司管理和财务会计方面的知识,千万不要草率创业。

7、准备搞安全防护研发产品的朋友,一定要注意你开发的安全产品,是否能解决用户的实际问题。

8、如果企业或个人想要对自己的系统或平台进行安全渗透测试像要查找漏洞的话可以咨询专业的网站安全公司,国内像Sinesafe,鹰盾安全,启明星辰以及绿盟都是比较不错的首选。

相关文章
|
5天前
|
测试技术 C语言
网站压力测试工具Siege图文详解
网站压力测试工具Siege图文详解
15 0
|
3月前
|
人工智能 自然语言处理 安全
【AI 现况分析】AI 如何帮助开发者完成自动化测试
【1月更文挑战第27天】【AI 现况分析】AI 如何帮助开发者完成自动化测试
|
1月前
|
敏捷开发 运维 安全
链家网站系统测试设计与实现_kaic
链家网站系统测试设计与实现_kaic
|
2月前
|
计算机视觉
Google Earth Engine(GEE)——使用MODIS数据单点测试SG滤波和harmonics method 滤波的差异分析
Google Earth Engine(GEE)——使用MODIS数据单点测试SG滤波和harmonics method 滤波的差异分析
40 0
|
26天前
|
jenkins 测试技术 持续交付
提升软件测试效率与准确性的策略分析
【2月更文挑战第28天】 在快速迭代的软件发展周期中,高效的测试流程是确保产品质量和用户满意度的关键。本文旨在探讨提高软件测试效率和准确性的策略,包括自动化测试工具的选择、测试用例的优化设计以及持续集成的实践。通过分析当前软件测试领域面临的挑战,提出了相应的解决方案,并通过案例分析来展示这些策略的实际应用效果。文章的目的是为软件测试工程师提供实用的指导和参考,帮助他们在保证测试质量的同时,缩短测试周期,降低成本。
22 1
|
3天前
|
Web App开发 前端开发 Java
框架分析(11)-测试框架
框架分析(11)-测试框架
|
5天前
|
测试技术 Linux Apache
网站压力测试工具webbench图文详解
网站压力测试工具webbench图文详解
8 0
|
26天前
|
测试技术 持续交付 UED
提升软件测试效率与准确性的策略分析
【2月更文挑战第29天】 随着软件开发周期的缩短和市场对质量要求的提高,传统的软件测试方法面临诸多挑战。本文针对如何提升软件测试的效率与准确性进行深入探讨,分析了自动化测试、持续集成、测试驱动开发(TDD)等现代测试策略的优势与实施要点。通过案例分析和数据对比,论证了这些策略在确保软件产品质量和加快上市速度方面的积极作用。
|
30天前
|
SQL Apache 流计算
Apache Flink官方网站提供了关于如何使用Docker进行Flink CDC测试的文档
【2月更文挑战第25天】Apache Flink官方网站提供了关于如何使用Docker进行Flink CDC测试的文档
131 3
|
2月前
岩土工程监测振弦采集仪广泛应用于岩土工程中的土体动力特性的测试和分析
岩土工程监测振弦采集仪广泛应用于岩土工程中的土体动力特性的测试和分析。以下是一些岩土工程监测振弦采集仪的应用案例:

热门文章

最新文章