亚洲av无码精品色午夜果冻不卡_国产草草影院ccyycom_97精品伊人久久久大香线蕉_亚洲av男人电影天堂

News Center
新聞資訊

做一名安靜的Web滲透測試人員必備的8種素質和技能

編輯:admin   瀏覽次數:次    更新時間:2018-12-04 07:50

無疑,Web安全(quan)測(ce)試工(gong)程(cheng)(cheng)師或(huo)Web滲(shen)透測(ce)試工(gong)程(cheng)(cheng)師的(de)(de)任務就是審計公司的(de)(de)Web應(ying)用(yong)程(cheng)(cheng)序(xu)、Web服務、Web服務器的(de)(de)安全(quan)性。那(nei)么,公司如何(he)才能請到優秀的(de)(de)Web應(ying)用(yong)安全(quan)專家而(er)不是紙上談兵的(de)(de)“趙括”?下面(mian)的(de)(de)這八(ba)項素質或(huo)技(ji)能可以為(wei)公司選聘(pin)Web滲(shen)透測(ce)試人(ren)員提供參考:


做一名安靜的Web滲透測試人員 要必備的8種素質和技能


1. Web滲透測試人員擁有一(yi)定的開發背景(知道(dao)如何編碼(ma))

公司(si)不可能聘(pin)用一位連編(bian)寫代碼都不懂人(ren)(ren)成(cheng)為滲透測試(shi)人(ren)(ren)員。公司(si)的Web滲透測試(shi)者(zhe)應首(shou)先是開發(fa)者(zhe),在此基(ji)礎(chu)上才考(kao)慮對Web漏洞(dong)掃描器的掌握(wo)技能,其好處有五個方面:

· 了解所開發WEB應用(yong)的漏(lou)洞(dong)和(he)缺(que)陷;

· 知道如何保障應用的安全(quan),如何為其打補(bu)丁,如何測試;

· 可以使評估者開發自(zi)己(ji)的安全工具(ju);

· 與那些沒有任何(he)開發經驗(yan)的(de)人員相比,如果培訓(xun)得(de)當,開發者(zhe)更(geng)容易適(shi)應測試Web應用的(de)任務。

· 能(neng)用簡單的腳本編寫驗(yan)(yan)證(zheng)(zheng)代(dai)碼,能(neng)驗(yan)(yan)證(zheng)(zheng)已發(fa)布漏洞的真實性。

如(ru)果(guo)Web滲(shen)透測(ce)試者甚至不(bu)知道如(ru)何用html編碼,或者以前也從(cong)沒(mei)有做過程(cheng)序(xu)員的(de)(de)工(gong)作(zuo),公司敢請他從(cong)事靜態代碼的(de)(de)測(ce)試嗎?

2.了解開放式Web應(ying)用程序安全項目(OWASP)

Web滲(shen)透測試工程(cheng)師(shi)應(ying)熟悉開放式(shi)Web應(ying)用程(cheng)序安(an)全項目的(de)(de)TOP 10,即(ji)OWASP的(de)(de)最重(zhong)要(yao)文檔,這是(shi)因為它向滲(shen)透測試人員傳達了Web應(ying)用程(cheng)序的(de)(de)最重(zhong)要(yao)的(de)(de)安(an)全意(yi)識。

OWASP的(de)TOP 10涉及(ji)一些最嚴重的(de)Web應(ying)用程序漏洞的(de)細(xi)節(jie),其中包括SQL注入(ru)、失效的(de)認證(zheng)(zheng)和會話管理、跨站腳本攻擊、不安(an)全(quan)的(de)直接對(dui)象引(yin)用、安(an)全(quan)性(xing)的(de)錯誤(wu)配置(zhi)、敏(min)感數據的(de)暴露、功能級訪問控制的(de)缺(que)失、使用有漏洞的(de)組件(jian)、未經(jing)驗證(zheng)(zheng)的(de)重定向和轉發。

如果滲透(tou)測試者能夠(gou)深(shen)入理解和評述(shu)OWASP的(de)TOP 10,甚至能夠(gou)在其自己的(de)實驗室或機器(qi)上(shang)演示這(zhe)些攻擊,他(ta)就(jiu)足(zu)以(yi)勝任此(ci)工作。

除了(le)上述項目(mu),如果滲透測試者(zhe)還熟悉由OWASP發起的(de)(de)一些項目(mu),如Mutilidae,或者(zhe)搭(da)建了(le)一個有安全問題的(de)(de)OWASP Web應(ying)用(yong)項目(mu),他就是一個有著攻擊Web應(ying)用(yong)程(cheng)序(xu)熱情的(de)(de)真正(zheng)愛好者(zhe)。

3.參(can)與過漏洞(dong)獎金項目

什么是(shi)漏洞獎金項目?就是(shi)由(you)某(mou)個(ge)公司發起的(de)一個(ge)獎勵黑(hei)客的(de)計劃(hua):黑(hei)客必須能夠在公司提供(gong)的(de)應用程序中找到(dao)安全漏洞,并且通過一種可靠的(de)揭露方式來報告(gao)此漏洞。

如果(guo)申(shen)請滲透(tou)測試工程(cheng)師的人曾(ceng)經是一(yi)個漏洞獎金獵(lie)人(黑(hei)客),他就必然(ran)曾(ceng)經遇到(dao)和報(bao)告過除SQL注入、跨站腳本攻(gong)擊、RCE之外的非一(yi)般漏洞。這證(zheng)明(ming)該(gai)黑(hei)客能夠(gou)在公(gong)司的應(ying)用(yong)中找到(dao)一(yi)些重要漏洞。

如果申請(qing)者(zhe)的(de)(de)名(ming)字曾經(jing)出現在(zai)諸如谷歌、微軟、Twitter、Facebook等提供漏洞(dong)獎金(jin)(jin)項(xiang)目的(de)(de)公司網(wang)站(zhan)上,尤其(qi)是他曾經(jing)因(yin)報告過火(huo)狐、IE、Chrome的(de)(de)漏洞(dong)而獲得過獎金(jin)(jin),那么,該申請(qing)者(zhe)就是一位杰出的(de)(de)滲透測試(shi)工程師。

4. 在Exploit-DB、Packet Storm或(huo)其它漏洞數據(ju)庫中(zhong)發布(bu)過漏洞利用程(cheng)序

漏(lou)洞(dong)(dong)利用程(cheng)序的(de)(de)開(kai)發(fa)者、漏(lou)洞(dong)(dong)研究人(ren)員、漏(lou)洞(dong)(dong)獵人(ren)等往往都揭露過開(kai)源軟件和企業產品中(zhong)的(de)(de)安(an)全漏(lou)洞(dong)(dong),尤(you)其值(zhi)得注意的(de)(de)是(shi),如果這些人(ren)員曾(ceng)經獲得過CVE(通(tong)用漏(lou)洞(dong)(dong)與披露)的(de)(de)ID或OSVD(開(kai)源漏(lou)洞(dong)(dong)數據庫)的(de)(de)ID,那將是(shi)非(fei)常出色的(de)(de)申(shen)請者。

這些申(shen)請者能(neng)夠輕松地復制、修復、處理安全掃描器所(suo)發現的漏洞。由(you)于這些人員還是精通安全的開(kai)發者,因而由(you)他們(men)為特定漏洞開(kai)發驗證代碼是非常容易(yi)的。

這(zhe)些申請(qing)者中(zhong)的多數人還是熟練的逆向(xiang)工程師(shi)和靜態代碼審(shen)計師(shi),所以除非沒有受到激勵,否則,他們(men)(men)將是很(hen)出色的選擇(ze)。當然,如果他們(men)(men)曾經給Metasploit Framework貢獻過漏(lou)洞利用模塊和輔助模塊,更是錦上添花(hua)。

5.對安(an)全的好(hao)奇(qi)心和熱情(或(huo)稱黑客思(si)想)

公司不能雇傭那些只是(shi)理論上知(zhi)道OWASP方法的(de)(de)人,也(ye)不應通過(guo)其閱讀的(de)(de)安全文(wen)檔而雇傭某人。真(zhen)正的(de)(de)Web滲透(tou)測(ce)試(shi)者還必須了解如(ru)何從(cong)外部來思考,并(bing)運用或測(ce)試(shi)這種方法,例如(ru),他可以搭建(jian)自己的(de)(de)安全試(shi)驗(yan)室(shi),從(cong)而可以練習所(suo)學習的(de)(de)方法,攻擊其自己的(de)(de)有漏洞的(de)(de)Web應用。

優秀的(de)(de)Web滲透測試(shi)工程師應(ying)像黑客一樣思考,因為黑客是一種充滿好(hao)奇且不斷創新的(de)(de)人(ren)。對企業(ye)來說(shuo),雇傭(yong)一個總是愿意和樂于學習的(de)(de)安全專家更(geng)(geng)好(hao)呢,還是雇傭(yong)一個擁有許多(duo)安全證書(shu)、在(zai)信息安全領域(yu)有了很多(duo)知識卻沒(mei)有將其所學應(ying)用到實(shi)踐中的(de)(de)人(ren)更(geng)(geng)好(hao)呢?

必須承認,證書(shu)并不(bu)能造就(jiu)(jiu)黑客,成就(jiu)(jiu)黑客的是(shi)創新精神(shen)和激情(qing),但這并不(bu)是(shi)說安全證書(shu)不(bu)值(zhi)錢(qian)。

6.精通UNIX或GNU/Linux

雖(sui)然(ran)多(duo)數企業Web應(ying)用程(cheng)序的漏洞掃描器(如IBM的Security Appscan)都(dou)運行在Windows上,但仍有許多(duo)免費的開(kai)源的Linux工(gong)具可用于Web滲(shen)透(tou)測試和審計(ji)。

精通GNU/Linux和(he)(he)UNIX可以使滲透(tou)測(ce)試(shi)人(ren)(ren)員比Windows用戶更占(zhan)優勢,因為精通Linux的用戶可以更容(rong)易地(di)使用Kali Linux和(he)(he)Backbox Linux等綁定了滲透(tou)測(ce)試(shi)工(gong)具的Linux發行(xing)版。如(ru)果申請滲透(tou)測(ce)試(shi)工(gong)作的人(ren)(ren)擁有Linux和(he)(he)UNIX背景,那么使用命令(ling)行(xing)工(gong)具就不是一個問題(ti)。

尤其值得注意的(de)(de)是(shi),多數網站都由(you)有著(zhu)良(liang)好(hao)穩定性和合理TCO(總擁有成本)的(de)(de)GNU/Linux的(de)(de)服務器管(guan)理。

7.安全(quan)證書仍是加分(fen)項

通過了某項安(an)全認證(zheng)考(kao)試(shi)(如CEH、ECSA、CEH、CISSP)本(ben)身就是一種投資。用戶將時間投資于道德黑(hei)客和滲透測試(shi)。參加某種安(an)全認證(zheng)考(kao)試(shi)的培訓可以使用戶獲得、閱(yue)讀、學(xue)習(xi)、練(lian)習(xi)各種優質(zhi)資源(yuan)。

通過某項認證(zheng)并不能保證(zheng)某人就(jiu)已(yi)經是(shi)一名黑客,卻是(shi)一個良好的開端(duan)和基(ji)礎。

在雇傭Web安(an)全(quan)測試工(gong)程師時,通過安(an)全(quan)認證(zheng)(zheng)并不是必需的,因為(wei)Web安(an)全(quan)滲透測試仍依(yi)賴于申請者的Web安(an)全(quan)和安(an)全(quan)測試技能。知識、技能、認證(zheng)(zheng)三管齊(qi)下終歸是一種(zhong)強大證(zheng)(zheng)明。

8.參加過(guo)安全大會或當地的黑客活動

花(hua)費很(hen)(hen)(hen)多時間參加黑(hei)(hei)客大會(如DEFCON、黑(hei)(hei)帽、ROOTCON)可(ke)能證明申請成(cheng)為Web滲透測試工(gong)程師的人(ren)員對(dui)安全和黑(hei)(hei)客文化(hua)的激(ji)情。黑(hei)(hei)客大會有很(hen)(hen)(hen)多話題和比(bi)賽,其中會向參與者透露(lu)很(hen)(hen)(hen)多信息(xi)和新的猛料。


推薦新聞