基线检查
密码复杂度、有效期,admin有没有禁用
等保测评
基线检查,是否举办了安全意识培训,是否有应急响应预案,有没有第一负责人
红蓝对抗
攻击
公安组织人员进行网络攻击演习
防守
各单位自己组织人员进行值守,防火墙,waf,态势感知
渗透测试
远程
客户提供公网的资产,域名,ip,渗透测试人员在远程仅从工作
现场
客户的资产外网不可见。
攻击网站,尝试自己会的所有漏洞
安全服务
看设备,上架设备
应急响应
服务器失陷,处理病毒,阻断传播,写报告
风险评估
机房有没有灭火器,有没有凭证
主机漏扫,web渗透,基线检查
技能树
windows
工具,环境,
Linux
拿下了一台linux服务器,如何进一步进行内网渗透
php
一句话木马,代码审计
前端
敏感信息泄露,xss漏洞,小程序渗透
web漏洞
针对web服务的攻击
只要通讯使用http协议,你都能干死他
Python
写脚本,tamper
网络
上架设备,