网站安全测评

网站安全测评,第1张

网站安全测试从业者经验分析

最近几天在2020RSAC安全节上听了一个渗透巨头的经验分享,感觉受益匪浅。

一、渗透检测服务项目中的难点问题

1.对于客户网站项目,我们之前在其他几家安全企业做过渗透测试服务项目。那么如果我们接手,我们应该如何执行它们呢?深入细致地分析客户程序,认真细致地发现程序多方面、多方面的系统漏洞。

2.如果客户的方案部署了自然环境waf服务器防火墙服务项目,应该如何进行?也可以绕过web服务器的防火墙,采用渗透测试,比如也可以按照内部局域网的方法进行检测。目前客户的网站安全不一定安全,很容易被规避。

3.客户程序,使用ukey硬件来配置机器设备的登录验证。还需要进行安全渗透测试吗?

Ukey硬件配置机器和设备的安全系数也必须通过安全测试认证。以前这个机器设备推一个认证,然后这个认证可以重复使用很多次。

4.客户端程序,传输层协议是用SSL证书数据加密的,这里传输的数据也是用rsa加密的,所以无法提取数据文件。下一步该怎么办?

尝试一些常用的破译方法,比如伪造https资格证书,重置协议,渗透测试授权程序。永远不要检测未经授权的系统软件。

5.客户端网站程序,看似静态页面,无法进入渗透测试。我该怎么办?

网站继续抓数据文件的分析,然后用动态脚本交互寻找区域搜索问题。

6.客户的系统软件程序。是否要使用扫描仪作为网站渗透测试工具?

尽量不要使用渗透测试工具,减少对客户已经运行的系统软件的破坏,尤其是敏感重要的程序,不要渗透内网。测试比较敏感的程序,最好申请接口测试,使用测试账号或者注册账号。

7.客户端程序好像在安全渗透测试中被入侵了。我该怎么办?

如果发现被黑客攻击的迹象,要立即通知客户,随时随地提前做好应急处理准备,解决安全隐患。

第二,实践经验积累

1.每一次新客户项目的渗透和测试,客户系统优化测试都会是你开发路上的老师。

2.从渗透测试的全过程详细分析不足,然后在后续的新项目行动中填补现有的不足。

3.善于和比自己优秀的人沟通、协商、咨询、学习。

4.要不断拓展自己的专业知识,不断提高自己的加工能力。

5.遇到困难不要畏首畏尾,要有信心能进行好每一项日常任务挑战。

6.安全常识社区论坛,渗入社交圈,安全杂志期刊,专刊,漏洞平台,都可以给你工作经验。

7.在空闲暇时间,经常报名参加一些网络信息安全活动,在活动中积累实践经验,塑造优秀的应对和解决素养。

三。客户关联解析

1.在新项目渗透之前,要求搞清楚客户的需求,有哪些极限或者标准是不能碰的。

2.网站渗透测试新项目时,需要征求客户的选择和规定。如有特殊要求,需向客户说明,并协商解决。

1/212下一页的最后一页

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/zz/767801.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022-05-02
下一篇 2022-05-02

发表评论

登录后才能评论

评论列表(0条)

保存