[经验分享]网站渗透测试

ronpris
ronpris
ronpris
253
文章
1
评论
2020年4月29日14:25:15 评论 78 1342字阅读4分28秒

伴随着我的客户圈慢慢扩展,我的薄弱点也更加突显,例如我长期性摸着内部网,对外部网不太熟,对传统式的安全研究评估也拿捏不准确,一个详细的安全新项目自己压根担负不了。为填补外网地址工作经验和安全研究评估工作经验上的缺点,我下定决心要为自己换一份工作——到更加全方位的服务平台去学习大量的东西,提高自己的实际价值。

饱经探寻,一家中等规模的安全公司向我抛出去了招纳入职聘请书。我在这个公司刚已入职就接触到了安全风险评测、渗透测试等传统式安全新项目。过去的安全企业里许多安全界的老前辈变成了我的领路人,除了念书通过自学外,我经常向老前辈求教新项目疑难问题。别认为拥有教师就万事如意了,我碰到的麻烦还真多。

第一次是和移动地市级营运商的协作。我想为移动地市级营运商做一个风险评估,但在新项目开展全过程中,另一方少给了我两月财产明细,我还在核查时都没有发觉——这造成很多增加财产(包含新的安全机器设备、新发布的安全系统软件)也没有被处理完毕。持续工作了十五天,我取出分析报告给客户看时,客户诧异的问:“财产怎么少了这么多?”大伙儿一沟通交流才发觉原先有两月的明细沒有录入,这一出错,导致我迫不得已再挑灯夜读持续了五个工作日。

第二次是我要去做一个渗透的新项目,客户是一个大的政府机构,客户要想对于本身安全安全防护管理体系做一次基本评估,另外也验证当时我所属企业的安全支撑点工作能力,规定己方对其web网站开展渗透测试,把我选做企业的前锋,首先去观察一下客户的安全安全防护工作能力,要是我可以攻破另一方的系统软件即使达到目标。结果几日过去了,我试着了多种多样方式都攻不进去,一开始原以为是客户在服务器防火墙上再次调节对策,过虑和屏蔽掉先前进行的检测数据文件,促使一切信息内容都没搜集到,只能通过商务同事,了解了下客户,是不是有调节服务器防火墙对策? 还记得从商务同事手机上传出了客户有点讽刺的响声“我们沒有调节服务器防火墙的相对对策,你们的工程师渗透工作能力也比较弱吧,都还没取得管理权限? 之后商务同事干脆通过个人关系联络了一个在业内比较出名的黑客——那个人一下子就攻进了政府机构web网站,取得了访问权限,并且通过这个黑客,协助公司证明了整体实力,最终争取到了这个新项目。通过这一件事情发现,完全体现出公司的整体实力上的差别,并且也激起了我逐步完善自身的技术能力,掌握新的构思。

第三次,我又得到了一家客户的授权,被容许对其內部资产开展安全扫描,但我还在扫描前,忘记了与该客户确定,是不是能够开展扫描。结果可想而知,还是出了问题,我的渗透测试竟把客户较为关键的三台网络服务器扫挂掉。客户对我莽撞的扫描行为觉得十分不满意。并告知公司,导致我被上司狠狠批斗一番,按照我的经验来说,正常不会出现问题,实际上也正是如此,那时候并非扫描造成的,而是恰好客户的网络服务器在升级,导致了本就并不是很平稳,一扫描就导致服务器宕机了。

经历了这三次比较难堪的事件,我得到了工作经验,一方面提高整体实力是关键所在,另一方面还要学着多和客户沟通交流——做安全,便要给客户安全感,不可以无拘无束,刚开始确实很差,目前在逐步改正这个问题,说了那么多着都是我自己的学习之路,抓住基础,稳抓稳打,逐步提升自我的安全意识,提高安全保障能力。

继续阅读
[故障处理]网站被攻击的处理过程 原创推荐

[故障处理]网站被攻击的处理过程

年前公司的官方网站经常无缘无故出现连接Mysql数据库异常的现象,但是由于以前也会出现这个问题,所以就没有太过关注,一般操作都是尝试着重启数据库,就能恢复正常,但是在春节期间,发现基本上一打开数据库没...
[闲聊篇]科学的理解SEO 原创推荐

[闲聊篇]科学的理解SEO

为什么好多集团公司要成立研究院,部分高管担任“科学家”职称。这个科学家有别于我们普通认知的科学家,不是那种研究量子力学,或者天体的科学家,而是某种领域的“科学家”,而这种职称代表的是对此领域有比较深的...
[经验分享]如何编写高质量运营方案 原创推荐

[经验分享]如何编写高质量运营方案

现在有很多运营人,对如何编写运营方案非常头疼,明明心里知道怎么做,但是却写不出来,这是什么原因呢? 以下为我分析有以下几个原因: 1、有运营经验,无总结经验; 2、脑袋没有系统的整合过资源; 3、文笔...
大学生如何在渗透测试行业立足 网站运营

大学生如何在渗透测试行业立足

大学本科环节的学习培训最好能以兴趣爱好为导向性,如果你并不是反感电子计算机,这好多个方向应当多多少少都能激起你的兴趣爱好,技术实质是互通的。可是,依据我的工作经验,大部分人沒有兴趣...