滲透測試 網站安全測試行業問題分析

這幾天在2020RSAC安全行業盛會上聽了一名滲透大佬的經驗分享，感覺得益匪淺。

一、滲透測試服務中的常見問題

1、對客戶網站系統，之前在其他幾家安全公司做過 滲透測試服務，那麼我們接手的話要如何進行？深入深入分析客戶程式，認真細緻發現程式全方位、深層次漏洞。

2、如果客戶的程式，部署了環境waf防火牆服務，我們要如何進行？還可以繞過web防火牆採取滲透測試，比如還可以透過內部區域網的技術手段去測試等。客戶現有的網站安全防護，未必安全，非常容易被繞過。

3、客戶程式，使用ukey硬體裝置登入認證，還需要安全滲透測試嗎？

Ukey硬體裝置的安全性也需要驗證安全測試，之前有過此裝置傳送一個驗證後，隨後這個驗證還可以重複使用的情況。

4、客戶程式，網路層協議是用的SSL證照加密傳輸的，傳輸資料這裡也做了rsa加密導致擷取不到資料包，接下來該怎麼辦？

試著一些常用到的破解方式，比如對https證照偽造，協議重置，對授權程式採取滲透測試時，千萬不要去測試沒有經過授權的系統哦.

5、客戶網站程式，似乎是靜態網頁，無法進入滲透測試。我該怎麼辦？

網站中不斷的去抓資料包分析，然後去尋找有動態指令碼互動功能的地方查詢問題。

6、客戶的系統程式，我們需不需要上網站漏洞掃描器採取掃描？

儘量不要用漏洞掃描器，降低對客戶現有正在執行系統的傷害，特別是比較敏感關鍵程式，也別內網滲透。比較敏感程式採取測試，最好是申請搭建測試環境，用測試賬號或申請賬號。

7、客戶程式，在安全滲透測試發現好像已經被入侵了，該如何處理？

發現被駭客入侵的跡象，要馬上告知客戶，並隨時準備應急響應處理安全問題

二、實戰經驗積累

1、每次滲透測試客戶專案，客戶系統安全測試都會是你成長道路上的老師。

2、從滲透測試過程中深入分析自身的不足，隨後在以後的專案行動中去彌補不足之處。

3、要善於和比自身能力強的人採取溝通，洽談、求教和進修。

4、要不斷的擴充自身的知識層面，不停的提高自己的解決能力。

5、遇到困難不要退縮，要有自信心，堅信自身還可以完成每一項任務挑戰。

6、安全知識論壇、滲透圈子、安全雜誌、週刊、漏洞平臺都可以給予你經驗。

7、在空閒時間段經常參加一些網路安全比賽，積累比賽中的實戰經驗，培養良好響應處理素質。

三、客戶關係處理

1、專案滲透之前要問明白客戶需求，哪些底限或原則是不能觸及的。

2、網站滲透測試專案中要多聽取客戶的選擇和要求，如有特別的需求要向客戶提出，並協商處理問題。

3、滲透測試結束後，要馬上整理安全報告跟客戶做一個簡易工作情況彙報。

4、工作上如果遇到阻礙或者客戶對工作任務不令人滿意，千萬不要找藉口，要馬上跟領導幹部彙報。

5、碰到自身不擅長的技術測試專案，在客戶面前要沉穩一點，不要逞強，要馬上找其他同事協助。

6、瞭解自己的角色定位，客戶提的需求，要向領導幹部採取彙報，請領導幹部指示。

7、滲透測試後獲得的比較敏感程式文件。資料、要跟客戶闡述會採取刪除處理。

四、攻防實戰演練

1、組建公司內部的資訊保安實驗室、模擬驗證最新網路攻防實戰演練環境。

2、對符合自身業務的漏洞採取跟蹤，還原攻擊方式、利用成本和漏洞修復。

3、攻防實戰演練從人與機器的對抗，上升至人與人之間的較量。

4、建立全面的攻擊主動防禦監控系統，對內外防護要做到有攻擊必查，尋找根源漏洞原因。

5、從未知攻擊的角度去量化分析攻擊的存在，並行程攻擊應急處置方法。

6、網站漏洞防護已經變的防不勝防，做好安全管控已經刻不容緩。

五、安全職業規劃

1、自身內心要有計劃方案，但最好是在五年之內逐步提高自己的滲透技術實力。

2、如果對滲透測試沒有興趣了，要儘早選擇自身的其他職業，別耽擱事業。

3、合理時間段範圍內、還可以適當選擇跳槽，融入到還可以提升你自身的企業。

4、要一步一步的從技術職業向管理職業轉型、進修管理方法，提高領導能力。

5、要進一步增加自身的人際圈子，千萬不要拘束自身的人際交往範圍。

6、想要自己做滲透測試公司創業的朋友，要深入分析公司管理和財務會計方面的知識，千萬不要草率創業。

7、準備搞安全防護研發產品的朋友，一定要注意你開發的安全產品，是否能解決使用者的實際問題。

8、如果企業或個人想要對自己的系統或平臺進行安全滲透測試像要查詢漏洞的話可以諮詢專業的網站安全公司,國內像Sinesafe,鷹盾安全,啟明星辰以及綠盟都是比較不錯的首選。