网站渗透测试中的历程经验记录分析

伴随着我的360收录域名客户圈慢慢扩展,我的薄弱点也更加突显,例如我长期性摸着内部网,对外部网不太熟,对传统式的安全研究评估也拿捏不准确,一个详细的安全新项目自己压根担负不了。为填补外网地址工作经验和安全研究评估工作经验上的缺点,我下定决心要为自己换一份工作——到更加全方位的服务平台去学习大量的东西,提高自己的实际价值。饱经探寻,一家中等规模的安全公司向我抛出去了招纳入职聘请书。我在这个公司刚已入职就接触到了安全风险评测、渗透测试等传统式安全新项目。过去的安全企业里许多安全界的老前辈变成了我的领路人,除了念书通过自学外,我经常向老前辈求教新项目疑难问题。别认为拥有教师就万事如意了,我碰到的麻烦还真多。
还记得第一次是和移动地市级营运商的协作。我想为移动地市级营运商做一个风险评估,但在新项目开展全过程中,另一方少给了我两月财产明细,我还在核查时都没有发觉——这造成很多增加财产(包含新的安全机器设备、新发布的安全系统软件)也没有被处理完毕。持续工作中了十五天,我取出分析报告给客户看时,客户诧异的问:“财产如何少了这么多?”大伙儿一沟通交流才发觉原先有两月的明细沒有录入,这一出错,要我迫不得已再持续挑灯夜读了五个工作日。第二次是我要去做一个渗透的新项目,客户是一个大的政府机构,客户要想对于本身安全安全防护管理体系做一次基本评估,另外也认证我那时候所属企业的安全支撑点工作能力,规定己方对其web网站开展渗透测试,把我选做企业的前锋,首先去观察一下客户的安全安全防护工作能力,要是我可以攻破另一方的系统软件即使达到目标。
结果几日过去了,我试着了多种多样方式 都攻不进去,一开始原以为是客户在服务器防火墙上再次调节对策,过虑和屏蔽掉先前进行的检测数据文件,促使一切信息内容都没搜集到,后边也没有什么构思,只有根据商务同事,了解了下客户,是不是有调节服务器防火墙对策?还记得从商务同事手机上传出了客户有点讽刺的响声“人们沒有调节服务器防火墙的相对对策呢,你们的工程师渗透工作能力也比较弱吧,都还没取得管理权限?
之后商务同事干脆运用本人关联联络了一个杰出黑客——那个人一下子就攻进了政府机构web网站,取得了访问权限,协助公司证明了整体实力,争得来到新项目。这一事情一件事严厉打击挺大,它纯碎是整体实力上的差别,可是这一次却激起了我逐步完善自身的技术能力,掌握新的构思。第三次,我得到来到一家客户的授权,被容许对其內部资产开展安全扫描,但我还在扫描前,遗忘了与客户确定,是不是能够 开展扫描,谁可以料想到,我的渗透测试竟把客户较为关键的三台网络服务器扫挂掉。客户对我莽撞的扫描行为觉得十分不满意。过后.我获知,实际上那时候并并不是由于扫描造成的,仅仅恰好客户的网络服务器在升级,本就并不是很平稳,一扫描就导致服务器宕机了。
经历了这三次比较难堪的事件,我得到了工作经验,一方面提高整体实力是关键所在,另一方面还要学着多和客户沟通交流——做安全,便是安全感,不可以无拘无束,刚开始的情况下差一点点,到最终就不清楚差到哪里去了,说了那么多着都是我自己的学习之路,如果各位朋友想要对网站或app进行渗透测试的话可以向专业的网站安全公司来处理,推荐几家比较专业的如鹰盾安全,绿盟,安渗科技等等。

共有 0 条评论

发表评论

邮箱地址不会被公开。 必填项已用*标注