學習滲透測試其實就是那麼簡單

網站安全發表於2020-12-08

這篇文章面向入門的同學,更偏向於學習的方法,而非滲透的技巧,請看準需求再往下讀。我是SINESAFE網站安全公司的技術,水平有限,所以自然親民,和很多滲透測試新手都很熟。他們中的大多數都是大學生,還有很多年的工作,但一直對網路安全保持著熱情。很多同學都很努力,但怎麼也找不到一條通順的道路,順利地入門成長。滲透測試僅僅是電腦科學中一個很小的分支,它和其他學科一樣具有相同的計算機基礎。

學習滲透測試其實就是那麼簡單

不能入門,對於80%的初學者來說,其實基礎都不夠。其中有幾個學生是剛剛進入大學大門,不知道該透過哪一門考試,懷著探索神秘世界的心情,面對著黑洞。很多情況下,實際上是我們的教育出了問題,電腦科學專業(甚至更直接的網路安全專業)的日常教學和實踐讓大部分學生學不到東西。沒有計算機的基礎底子,直接面對滲透測試行業當然很困惑。對著這些同學,我自然不能從電腦原理、作業系統原理、編譯原理、程式語言、演算法與資料結構、網路基礎、加密與解密...這一堆西裝革履的東西,再來學習滲透測試。不過幸運的是,他們的興趣還在,可以利用自上而下的方法,找到一個簡單的切入點去學習,引導初學者透過自己的努力,70%的自學+30%的理論,進入滲透測試之門。下面的圖表就是這種想法的基本學習思路。

學習滲透測試其實就是那麼簡單

理解滲透測試的系統結構是第一步,從整體上理解這項技術,避免從一入門就走錯了方向。培訓的切入點是使用工具,工具門檻低,容易上手,能帶來成就感。培養在使用工具過程中對滲透測試的流程和基本測試方法的學習,對技術概念和應用體系結構、協議、原理的理解和感性理解。

學習滲透測試其實就是那麼簡單

程式設計是一條重要的分水嶺,但也要採取容易入門的方式來學習和培訓程式設計,入門即可,拋棄那些難懂的概念就好了。實施工具和應用,這是在程式設計的基礎上,直接上手做函式,在這個過程中,對程式設計技能的提高起到加深作用。從程式碼中瞭解工具、漏洞和應用程式本身。計算機基礎知識的學習,在整個過程中,透過多輪輪詢的方式,使一些專業概念逐漸加深。如果能夠用程式碼實現一些基本的工具,並將它們用於實際的滲透測試任務,那麼我認為入門的任務就完成了。接下來我們將對這個基本過程和目標進行進一步分解。如果想要做滲透測試服務來檢測網站或APP的安全性,可以像國內的網站安全公司如SINESAFE,鷹盾安全,大樹安全,非凡盾來做深入的安全測試。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31542418/viewspace-2740343/,如需轉載,請註明出處,否則將追究法律責任。

相關文章