這周參加360的補天大會聽了一位滲透大佬的分享,感覺獲益匪淺。
1、客戶系統,之前做過滲透測試,我們要怎麼做?
深入了解客戶系統,一絲不苟發現系統深層次漏洞。
2、客戶系統,部署了防火牆,我們要怎麼做?
可以繞過防火牆進行測試,比如通過內部wifi的手段等。客戶已有的安全防護,不一定安全,很容易被繞過。
3、客戶系統,採用ukey登入,還需要滲透嗎?
ukey的安全性也需要驗證,之前有ukey傳送乙個驗證,然後這個驗證可以重複使用的情況。
4、客戶系統,網路協議是加密的,抓不到資料報,怎麼辦?
嘗試一些破解的方式,對授權系統進行滲透時,最好別對其他系統進行測試
5、客戶系統,好像是靜態頁面,搞不進去,怎麼辦?
抓資料報,尋找有動態互動的地方。
6、客戶系統,我們要不要上掃瞄器進行掃瞄?
盡量不要用掃瞄器,降低對客戶系統的傷害,特別是敏感關鍵系統,也別內網滲透。敏感系統進行測試,最好申請搭建測試環境,或申請賬號。
7、客戶系統,滲透測試發現好像已經入侵,怎麼辦?
發現被入侵跡象,要及時通知客戶,並隨時準備應急響應
1、每次滲透測試專案,客戶系統都會是你成長的老師
2、從滲透測試過程中了解自身的不足,然後用行動去彌補不足之處
3、要善於和比自己強的人進行溝通,交流、請教和學習
4、要不斷的擴充自己的知識面,不斷地提公升自己的應對能力
5、遇事不要退縮,要有信心,堅信自己可以完成每一項任務挑戰
6、知識論壇、圈子、雜誌、週刊、漏洞平台都可以給予你營養
7、適當參加一些網路安全比賽,積累比賽經驗,培養良好素質
1、滲透之前要問清楚客戶需求,哪些底線或原則是不能觸碰的
2、滲透測試專案中要尊重客戶的選擇,如有特殊需求要向客戶提
3、滲透測試結束後,要及時跟客戶做乙個簡單工作匯報
4、工作中如遇到阻力或者客戶對工作不滿意,千萬別找理由,要及時跟領導匯報
5、碰到自己不擅長的專案,在客戶面前要低調一點,要及時找同事幫助
6、認清自己的角色,客戶提的需求,要向領導進行匯報,請領導指示
7、滲透測試後獲取的敏感系統文件。資料、要跟客戶表述會進行刪除處理
1、組建公司內部的資訊保安實驗室、模擬驗證最新網路攻防實戰環境
2、對符合自身業務的漏洞進行跟蹤,還原攻擊方式、利用成本和漏洞修復
3、攻防實戰從人與系統的對抗,上公升至人與人之間的較量
4、建立完善的攻擊監控系統,對內外防禦要做到有情能查,有情必究
5、紅藍雙方的攻防對抗,要逐步行程常態化攻防演練
6、從不明攻擊的角度去量化攻擊的存在,並行程攻擊處置方法
7、漏洞防禦已經變的防不勝防,做好安全管控已經迫在眉睫
1、向團隊核心人物看齊,如果團隊沒有核心,那團隊就危險了
2、善於與團隊成員配合,取長補短,共同進步
3、梳理團隊成員責任心,做人做事認真、負責
4、合理劃分團隊成員職責、人物,確保工作高效執行
5、善於處理團隊中產生的矛盾、分歧、以最小化影響進行處理
6、積極為團隊成員排憂解難,全身心投入工作
7、建立培訓計畫,定期組織團隊進行內部技能培訓和分享,提公升團隊能力
1、自己心裡要有計畫,但最好在五年之內逐步提公升自己的技術實力
2、如果對滲透測試沒有興趣了,要趁早選擇自己的第二職業,別耽誤事
3、合理時間範圍內、可以適當選擇跳槽,融入可以提公升你自己的企業
4、要逐步從技術向管理轉變、學習管理方法,提高管理能力
5、要逐步擴大自己的人際圈子,千萬不要束縛自己的交際範圍
6、想要創業的朋友,要了解公司管理和財務管理方面的知識,千萬別盲目創業
7、準備研發產品的朋友,一定要注意你研發的產品,是否能解決使用者的痛點
職業經驗 如何體現測試工程師的價值
2020 年過的很快,眨眼間就到了 2021 年。最近看了幾篇行業同僚的年終總結,想著自己也要回顧過往,總結得失,看看能否指明自己接下來一年前進的方向,於是有了這篇文章。前段時間參加了公司的培訓 如何做好一場分享 今天就直接拿其中部分理論來試試手吧。直接從主題開始說起,要講清楚 如何體現測試工程師的...
測試工程師面試經驗
01.為什麼要在乙個團隊中開展軟體測試列舉出程式中所有可能有的錯誤和容易發生錯誤的特殊情況,根據他們選擇測試用例.例如,在單元測試時曾列出的許多在模組中常見的錯誤.以前產品測試中曾經發現的錯誤等,這些就是經驗的總結.還有,輸入資料和輸出資料為0的情況.輸入 為空格或輸入 只有一行.這些都是容易發生錯...
測試工程師簡介
一 什麼是軟體測試?1975年,兩位軟體測試先驅john good enough和susan cerhart 在ieee上發表了 軟體資料選擇的原理 此時將軟體測試定義為 證明軟體的工作是正確 的活動。1979年,glenford j.myers的著名的 軟體測試藝術 對測試的定義是 發現錯誤而執行...