網站安全滲透測試公司心得總結

3年，說長也長，說短也短，以前在A3年，從公司的自建房十多人，到走的那時候，上百人，自主創業不容易，一路上說不出的艱苦，也算記錄了一個網際網路公司的發展壯大，而且據說聽聞發展壯大的也非常好，很有可能快掛牌上市了。以後跳到了一個招標方，通稱B公司，到現在，又做了3年，可是與在A公司不同，身處招標方，不單單是是分析網路安全問題了，更重視的是維護公司的安全，促進安全建設。剛剛的那時候，公司五百多人，到現在快到一千八人。到公司的掛牌上市，也是人的一生較為難能可貴的行業發展機會。有的那時候我經常說，我可能也是比其他人走運許多。

今日也算為自己的3年做一個小結吧；最開始不太融入，新的環境，新的群體，彷彿沒有網際網路公司大夥兒那樣熱情，大家都在忙著自個手工的工作，掌握公司的構架，掌握公司的安全業務狀況。可是和剛工作的那時候似的，充滿信心，熱情無盡。還記得剛到的那時候，也是對現階段原有的環境開展網站滲透測試，對於在承包方，而且“智勇雙全”的人而言，是較為熟知的工作，最終也成功取得網站伺服器管理許可權，而且推動修補。以後逐漸轉化成業務環境上的一個釘，對業務上架開展系統安全測試。

在測試期內，瞭解了許多公司的職工，對發覺的漏洞交流修補，期內也發覺了許多的網路安全問題。以後對裡外的安全性測試。滲透、安全性測試還算自個較為拿手的，相較為在網際網路公司，我反而感覺現階段的工作算較為“清閒自在”。以後在安全性測試、滲透之外，也開始學習了招標方的安全建設，依據以前所掌握的、所看的開展DEV操作。安全性測試，在裡面的統一化流程中，當做當中的連線點，對上架的業務統一化安全性測試，務必修補網路安全問題以後，才可以上架網站滲透測試，對裡、外全部按時開展安全性測試，整理現階段的業務，開展安全性測試，以後建立了1.0版本弱口令掃描，無頁面，只有一個漏洞掃描系統的結果，對於漏洞掃描系統結果傳送給傳送給的人去修補，當中許多產品研發乃至沒有網站伺服器管理許可權，如果大家新專案上線前一定要網站滲透測試來對專案的整體漏洞有個足夠的認知和預控，國內做漏洞測試的公司像SINE安全，鷹盾安全，綠盟，啟明星辰等都是對漏洞滲透測試有著豐富的實戰經驗。

或是網站伺服器選用叢集伺服器佈署。2.0（已退出）的那時候運用了github開源的專案，開展再次開發，適用了主要的網站掃描、外掛化掃描、服務埠號的弱口令掃描、業務統一化的SSO賬號掃描，適用漏掃模式，漏掃報告書、按時安全巡檢。2.0的漏掃，系統軟體開發結束，可是在掃描速率上、準確度漏報率、安全運營上面沒有做提升，選用的flask+mongo，故此記憶體吃的也較為嚴重，一部分表沒做資料庫索引，造成開啟較慢，服務這類的HIDS類似可以更全的掃描，功能上相對來說笨重，漏掃外掛化儘管有可是全是各種各樣CMS外掛漏洞掃描系統，可是並非專案，漏掃落地式操作，掃描自個公司開發的業務，相對來說較弱。