网站渗透测试 客户需求问题总结经验分析

简介:

这几天在2020RSAC安全行业盛会上听了一名渗透大佬的经验分享,感觉得益匪浅。

_yougemeigong_SmartPicture_20200309_132

一、渗透测试服务中的常见问题

1、对客户网站系统,之前在其他几家安全公司做过渗透测试服务,那么我们接手的话要如何进行?深入深入分析客户程序,认真细致发现程序全方位、深层次漏洞。

2、如果客户的程序,部署了环境waf防火墙服务,我们要如何进行?还可以绕过web防火墙采取渗透测试,比如还可以通过内部局域网的技术手段去测试等。客户现有的网站安全防护,未必安全,非常容易被绕过。

3、客户程序,使用ukey硬件设备登录认证,还需要安全渗透测试吗?

Ukey硬件设备的安全性也需要验证安全测试,之前有过此设备发送一个验证后,随后这个验证还可以重复使用的情况。

4、客户程序,网络层协议是用的SSL证书加密传输的,传输数据这里也做了rsa加密导致截取不到数据包,接下来该怎么办?

试着一些常用到的破解方式,比如对https证书伪造,协议重置,对授权程序采取渗透测试时,千万不要去测试没有经过授权的系统哦.

5、客户网站程序,似乎是静态网页,无法进入渗透测试。我该怎么办?

网站中不断的去抓数据包分析,然后去寻找有动态脚本交互功能的地方查找问题。

6、客户的系统程序,我们需不需要上网站漏洞扫描器采取扫描?

尽量不要用漏洞扫描器,降低对客户现有正在运行系统的伤害,特别是比较敏感关键程序,也别内网渗透。比较敏感程序采取测试,最好是申请搭建测试环境,用测试账号或申请账号。

7、客户程序,在安全渗透测试发现好像已经被入侵了,该如何处理?

发现被黑客入侵的迹象,要马上告知客户,并随时准备应急响应处理安全问题

_yougemeigong_SmartPicture_20200309_296

二、实战经验积累

1、每次渗透测试客户项目,客户系统安全测试都会是你成长道路上的老师。

2、从渗透测试过程中深入分析自身的不足,随后在以后的项目行动中去弥补不足之处。

3、要善于和比自身能力强的人采取沟通,洽谈、求教和进修。

4、要不断的扩充自身的知识层面,不停的提高自己的解决能力。

5、遇到困难不要退缩,要有自信心,坚信自身还可以完成每一项任务挑战。

6、安全知识论坛、渗透圈子、安全杂志、周刊、漏洞平台都可以给予你经验。

7、在空闲时间段经常参加一些网络安全比赛,积累比赛中的实战经验,培养良好响应处理素质。

三、客户关系处理

1、项目渗透之前要问明白客户需求,哪些底限或原则是不能触及的。

2、网站渗透测试项目中要多听取客户的选择和要求,如有特别的需求要向客户提出,并协商处理问题。

3、渗透测试结束后,要马上整理安全报告跟客户做一个简易工作情况汇报。

4、工作上如果遇到阻碍或者客户对工作任务不令人满意,千万不要找借口,要马上跟领导干部汇报。

5、碰到自身不擅长的技术测试项目,在客户面前要沉稳一点,不要逞强,要马上找其他同事协助。

6、了解自己的角色定位,客户提的需求,要向领导干部采取汇报,请领导干部指示。

7、渗透测试后获得的比较敏感程序文档。数据、要跟客户阐述会采取删除处理。

_yougemeigong_SmartPicture_20200309_482

四、攻防实战演练

1、组建公司内部的信息安全实验室、模拟验证最新网络攻防实战演练环境。

2、对符合自身业务的漏洞采取跟踪,还原攻击方式、利用成本和漏洞修复。

3、攻防实战演练从人与机器的对抗,上升至人与人之间的较量。

4、建立全面的攻击主动防御监控系统,对内外防护要做到有攻击必查,寻找根源漏洞原因。

5、从未知攻击的角度去量化分析攻击的存在,并行程攻击应急处置方法。

6、网站漏洞防护已经变的防不胜防,做好安全管控已经刻不容缓。

五、安全职业规划

1、自身内心要有计划方案,但最好是在五年之内逐步提高自己的渗透技术实力。

2、如果对渗透测试没有兴趣了,要尽早选择自身的其他职业,别耽搁事业。

3、合理时间段范围内、还可以适当选择跳槽,融入到还可以提升你自身的企业。

4、要一步一步的从技术职业向管理职业转型、进修管理方法,提高领导能力。

5、要进一步增加自身的人际圈子,千万不要拘束自身的人际交往范围。

6、想要自己做渗透测试公司创业的朋友,要深入分析公司管理和财务会计方面的知识,千万不要草率创业。

7、准备搞安全防护研发产品的朋友,一定要注意你开发的安全产品,是否能解决用户的实际问题。

8、如果企业或个人想要对自己的系统或平台进行安全渗透测试像要查找漏洞的话可以咨询专业的网站安全公司,国内像Sinesafe,鹰盾安全,启明星辰以及绿盟都是比较不错的首选。

相关文章
|
2月前
|
缓存 监控 算法
软件测试中的性能瓶颈分析与优化策略
【10月更文挑战第6天】 性能测试是确保软件系统在高负载条件下稳定运行的重要手段。本文将深入探讨性能测试的常见瓶颈,包括硬件资源、网络延迟和代码效率等问题。通过具体案例分析,我们将展示如何识别并解决这些问题,从而提升软件的整体性能。最后,文章还将分享一些实用的性能优化技巧,帮助读者在日常开发和测试中更好地应对性能挑战。
107 3
|
3月前
|
监控 测试技术 持续交付
软件测试中的性能瓶颈分析与优化策略
性能瓶颈,如同潜伏于软件深处的隐形障碍,悄然阻碍着系统的流畅运行。本文旨在揭示这些瓶颈的形成机理,剖析其背后的复杂成因,并汇聚一系列针对性的优化策略,为软件开发者提供一套系统性的解决方案。
59 5
|
3月前
|
人工智能 数据可视化 API
10 分钟构建 AI 客服并应用到网站、钉钉或微信中测试评
10 分钟构建 AI 客服并应用到网站、钉钉或微信中测试评
117 2
|
21天前
|
并行计算 算法 测试技术
C语言因高效灵活被广泛应用于软件开发。本文探讨了优化C语言程序性能的策略,涵盖算法优化、代码结构优化、内存管理优化、编译器优化、数据结构优化、并行计算优化及性能测试与分析七个方面
C语言因高效灵活被广泛应用于软件开发。本文探讨了优化C语言程序性能的策略,涵盖算法优化、代码结构优化、内存管理优化、编译器优化、数据结构优化、并行计算优化及性能测试与分析七个方面,旨在通过综合策略提升程序性能,满足实际需求。
49 1
|
2月前
|
缓存 监控 测试技术
软件测试中的性能瓶颈分析与优化策略
本文深入探讨了在软件测试过程中,如何有效地识别和解决性能瓶颈问题。通过对性能瓶颈的定义、分类以及常见原因的分析,结合实际案例,提出了一系列针对性的优化策略和方法。这些策略旨在帮助测试人员和开发人员提高软件的性能表现,确保软件在高负载条件下依然能够稳定运行。
|
3月前
|
测试技术 持续交付 UED
软件测试的艺术与科学:平衡创新与质量的探索在软件开发的波澜壮阔中,软件测试如同灯塔,指引着产品质量的方向。本文旨在深入探讨软件测试的核心价值,通过分析其在现代软件工程中的应用,揭示其背后的艺术性与科学性,并探讨如何在追求技术创新的同时确保产品的高质量标准。
软件测试不仅仅是技术活动,它融合了创造力和方法论,是软件开发过程中不可或缺的一环。本文首先概述了软件测试的重要性及其在项目生命周期中的角色,随后详细讨论了测试用例设计的创新方法、自动化测试的策略与挑战,以及如何通过持续集成/持续部署(CI/CD)流程优化产品质量。最后,文章强调了团队间沟通在确保测试有效性中的关键作用,并通过案例分析展示了这些原则在实践中的应用。
91 1
|
3月前
|
监控 算法 测试技术
软件测试中的性能瓶颈分析与优化策略
本文旨在深入探讨软件测试过程中性能瓶颈的识别与优化方法。通过对性能瓶颈的概念、分类及其成因进行分析,结合实际案例,提出一套系统的性能瓶颈诊断流程和针对性的优化策略。文章首先概述了性能瓶颈的基本特征,随后详细介绍了内存泄漏、资源竞争、算法效率低下等常见瓶颈类型,并阐述了如何通过代码审查、性能监测工具以及负载测试等手段有效定位问题。最后,结合最佳实践,讨论了代码级优化、系统配置调整、架构改进等多方面的解决措施,旨在为软件开发和测试人员提供实用的性能优化指导。
89 4
|
2月前
locust网站压力测试软件
locust网站压力测试软件
48 0
|
3月前
|
监控 安全 Linux
如何利用Kali Linux进行网站渗透测试:最常用工具详解
如何利用Kali Linux进行网站渗透测试:最常用工具详解
145 6
|
4月前
|
前端开发 测试技术 UED
【测试效率对比】深入分析:为何UI自动化测试的投资回报率通常低于接口自动化测试?
这篇文章深入分析了UI自动化测试与接口自动化测试的投资回报率(ROI)问题,指出UI自动化测试在某些情况下的ROI并不低,反驳了没有实施过UI自动化就轻易下结论的观点,并强调了实践的重要性和自动化测试在项目迭代中的作用。
96 1
下一篇
DataWorks