开发与渗透

最新推荐文章于 2024-09-04 15:00:15 发布
最新推荐文章于 2024-09-04 15:00:15 发布
阅读量2k 收藏 5
点赞数 3
分类专栏: 安全开发 文章标签: 漏洞 开发 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28921653/article/details/78945594
版权

开发与渗透

矛盾

开发工程师与渗透工程师之间是很微妙的关系。

开发的目的:

  • 开发应用,增添新的功能。

渗透的目的:

  • 在应用中的功能点中找到有漏洞的地方。

某种程度来说,开发与渗透在工作内容上是相生相克的。哈哈

  • 如果开发的水平很较高,能写出健壮性较高的代码的话,即考虑了多种异常情况,包括各种用户的异常输入情况,这样会让一个渗透工程师在开始测试的时候感到很棘手。

  • 如果渗透工程师的水平很高,会让开发者的网站满目疮痍,丑态尽出哈哈。。

挖洞过程:

渗透视角:

之前做过一小段时间的渗透,经常要对一些准备上线的Web应用进行渗透测试,运气比较好的话,总能找出一堆的漏洞。

几个搞渗透经常找到一些漏洞,都会高兴地分享出来这个功能点是是通过哪些步骤、姿势绕过验证。

大家经常有一种感觉,每找出一个漏洞,便会

  • 觉得这个开发水平不怎么样,哈哈哈。。。
  • 怎么连这这种情况都没有考虑到。。
  • 这样都给我绕过了。。哈哈

之前我也是这么觉得的,但是做了几个月的开发之后,又有新的理解。

开发视角:

开发的工作环境是与渗透完全不同的,从一首打油诗中可见一斑。

十年编程两茫茫,工期短,需求长。千行代码,bug何处藏。纵使上线又如何,新版本,继续忙。

黑白颠倒没商量,睡地铺,吃食堂。夜半惊醒,无人在身旁。最怕灯火阑珊时,手机响,心里慌。

这种赶需求的节奏,时间短,需求多,需要大量的开发人员,赶着开发,是很难写出健壮性的代码的。
有时候在规定的时间内,连上头的需求都写不完,哪有时间来考虑代码安全性方面的问题。

除了开发节奏过快之外,还有一个造成出现漏洞的原因似乎是 无法避免的。

应用的阿喀琉斯之踵???

出现漏洞的原因:

如果从代码层面来看待Web应用为何会出现安全漏洞,简单地可以笼统地归结为一句话:代码健壮性不够,即异常处理不够全面。

要想写出健壮性的代码,换句话说就是要考虑多种异常情况
但是一个开发者,或者一个开发团队,再有经验都很难在应用上线前就考虑完所有异常情况,几乎是不可能的。

所以很多异常情况是需要测试,或者上线后才能知道的,而渗透也属于测试的这个过程,可以说是充当着一个找Bug的角色。

渗透并不是全部。

总结:

要求开发者在短时间内写出安全性很高的代码,有种缘木求鱼的感觉。

从现实情况来看:

  • 应用几乎没可能不出现漏洞,这是个多因素造成的问题,似乎没有解决方案。

所以渗透过程中遇到任何应用出现漏洞应该觉得很正常,应该处之泰然,没必要diss开发哈哈

每当你觉得想要批评什么人的时候,你切要记着,这个世界上的人并非都具备你禀有的条件。
Whenever you feel like criticizing any one, just remember that all the people in this world haven’t had the advantages that you’ve had.

—–《了不起的盖茨比》菲茨杰拉德

  • 瞄一瞄软件开发平面图:

换个更大的视角去看,渗透测试只是软件开发的一个小插曲,并不是全部,not the all。

启示:

  • 开发者应该尝试去渗透测试的角度去看待、理解问题
  • 渗透测试工程师应该尝试从开发者角度去看待、理解问题

好像说了两句废话。。哈哈哈

自由在于用进一步的理解取代考虑不周全的思想。—斯宾诺莎

渗透工具开发——XSS平台的命令行实现
HBohan的博客
07-19 582
前言 【网安学习资料】 通过XSS平台,能够便于对XSS漏洞进行测试,获得重要信息。目前,可供使用的在线XSS平台有很多,也可以尝试自己搭建XSS平台。 但是,如果测试目标无法出网,我们就需要在内网搭建一个轻量化的XSS平台,既要安装方便,又要支持跨平台。 我暂时没有找到合适的开源工具,于是打算使用Python编写一个命令行工具,提供XSS平台的功能 简介 【网安学习资料】 本文将要介绍以下内容: ◾设计思路 ◾实现细节 ◾开源代码 设计思路 【网安学习资料】 参照XSS平台,命令行工具需要提供以下功能:.
渗透测试的讨论一
开发与测试同行
08-06 409
一,什么是渗透测试呢? 1. 简单的说,渗透测试,是为了证明网络防御按照预期计划正常运行而提供的一种机制,渗透测试能够独立地检查你的网络策略,换句话说,就是给你的系统安了一双眼睛。 2.渗透测试 (penetration test)并没有一个标准的定义,国外一些安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱...
java渗透_Java开发渗透测试该选哪一个?
weixin_42357331的博客
02-22 899
1.学习如何使用搜索引擎2.养成阅读计算机学术论文的习惯。3.彻底吃透计算机组成原理。4.吃透嵌入式这门课程5.吃透Linux所有代码6.吃透信号与系统等等电子信息相关知识,芯片网络两手抓。7.熟练使用C,汇编,Python,PHP, 知道他们的运行原理,编译原理,知道各种可执行文件的格式,链接原理,要熟练做到看一行代码,就能知道系统调用了什么资源,内存是怎么分布的,用了什么数据结构,反编译出来是...
渗透测试入门教程(非常详细)从零基础入门到精通,看完这一篇就够了
最新发布
bigbangbangbang1的博客
09-04 3208
还记得小杰之前为大家分享过一些关于网络安全自学的关键点,比如“网络安全只有计算机高材生才能学?”“没有名校背景,根本进不了这个行业?”这些疑问。这次,我们阿一将为大家奉上一份更详细深入的学习指南,详细解析网络安全学习的每一个重要环节。从基础到进阶,从理论到实战,帮你彻底搞清楚如何一步步掌握这门技术,最终在网络安全领域中脱颖而出。还在等什么?快跟着我们小杰一起努力学习叭。
python 网络渗透_python 网络编程(渗透与编程一)
weixin_39755824的博客
11-20 403
0x00网络一直是黑客们最喜欢的竞技场。通过简单的网络访问,攻击者可以做任何想做的事情。例如主机扫描,数据包注入,远程攻击等。但是当我们通过某种方法进入某企业内网,假设在次内网中无任何工具可以利用,但是你惊讶的发现目标环境中安装了Python环境,那么我们可以利用这个环境,将编写你所可能要用到的工具,实现我们的渗透。我们的目标不是成为网络编程高手,我们只需要迅速,简单,可靠的处理日常的任务工具。0...
渗透技术开发
jmm18363027827的博客
06-19 255
测试报告应该包括测试的目标和范围、测试的方法和过程、发现的漏洞和风险评估、建议的修复措施等内容。1. 确定渗透测试的目标和范围:在开始渗透测试之前,需要明确测试的目标和范围。2. 收集情报信息:在确定了测试目标和范围后,需要对目标系统进行情报收集,包括系统的架构、技术栈、应用程序、网络拓扑、用户和权限等信息,以便于后续的攻击模拟和漏洞测试。3. 模拟攻击:根据收集到的情报信息,模拟攻击者的攻击行为,尝试利用已知的漏洞或者开发新的漏洞,以获取目标系统的敏感信息或者控制目标系统。
python安全开发/高级渗透技术
06-13
课程内容包括python语言应用、介绍、开发实例、python gui编程、网络编程、数据库编程、爬虫编程、python开发扫描器、爆炸工具、漏洞利用等,通过本教材的学习,我们可以深入了解最先进的python语言。在语言开发、...
开发过程中煤储层渗透率动态变化特征
07-18
为了摸清开发过程中煤储层渗透率动态变化特征,分析了影响煤储层渗透率动态变化的3种效应,引用了P&M渗透率模型,并以沁水煤层气田二叠系山西组3号煤储层为例,模拟了储层压力从初始值降至衰竭压力整个过程中煤储层渗透...
BurpExtend:基于Burp插件开发打造渗透渗透测试自动化
03-08
渗透测试自动化是白帽子和各家公司一直在解决的一个案例,BurpSuit是渗透测试中必不可少的渗透神器,基于BurpSuit插件二次开发,完善丰富其功能,联动各类其他工具达到渗透测试自动化能够有效减少人工的参与并大大...
osgi
het9527的专栏
06-23 678
OSGi(Open Service Gateway Initiative)技术是面向Java的动态模型系统。OSGi服务平台向Java提供服务,这些服务使Java成为软件集成和软件开发的首选环境。Java提供在多个平台支持产品的可移植性。OSGi技术提供允许应用程序使用精炼、可重用和可协作的组件构建的标准化原语。这些组件能够组装进一个应用和部署中。 OSGi规范的核心组件是OSGi框架。这个
渗透小白如何学编程
大学霸__IT达人
04-02 686
渗透小白如何学编程 做渗透,需要学编程吗?需要。但什么时候学,学什么语言,怎么学,就有讲究了。下面依次说一下。大学霸IT达人 1.什么时候学? 当现有工具满足不了需要,再学。大家日常的操作都有对应的经典工具。这些工具肯定比我们自己编写的好。当这些工具不能满足需要的时候,先去github上找。实在找不到,再考虑自己写。大学霸IT达人 2.学什么语言? 有人说Python。不一定。因为你面临的问题...
兄弟别白忙活了,渗透测试原来是要这样学的!
qq_69775412的博客
08-16 682
即使是行业内的专业人士,也未必能提炼出一套系统全面的学习方案,更何况是初入行的菜鸟,面对纷繁复杂的知识体系,选择学习路线时往往无所适从。网络安全涵盖的内容很广,里面所涉及的版块很多,但请不要慌,学习就好比修建房子一样,想要把房子修建的更高更牢固,地基整好了接下来就是砌砖了,一块一块搭建,慢慢来。手机的频繁打扰、社交活动的诱惑,都可能成为前进路上的绊脚石,导致学习进程停滞不前。网络安全的本质在于实战,没有导师的指引,仅凭一己之力摸索,很容易陷入理论与实践脱节的困境,空谈无益,实战才是检验真理的唯一标准。
软件测试VS测试开发,帮你分析适合的方向
测试萌萌
06-05 352
软件测试和测试开发都是软件开发声明周期中非常重要的环节,缺一不可。当然了这两者还有区别的,比如果薪资待遇,开发要比测试待遇好,但测试里面功能测试和性能测试待遇又不同,掌握的技术不同、工龄都会有影响。
渗透测试知识点总结(非常详细),从零基础入门到精通,看完这一篇就够了
xnxqwzy的博客
06-19 2613
直接上货! Win2003,WinXP Mssql开启xp_cmdshell 关闭命令 开启命令 在注入点运行上述语句时,如果出现这样的回显,标记message: 配置选项 ‘xp_cmdshell’ 不存在,可执行以下语句 Mysql日志拿shell Windows提权对照表 Win下面各种文件下载姿势http://www.cnblogs.com/backlion/p/7908563.html https://www.freebuf.com/articles/system/155147.html
开发转到安全渗透工程师,是我做的最对的决定
yy1715713348的博客
11-22 853
本文字数:1142 字阅读完需:约 4 分钟。
走向Web渗透工程师
sss_Li的博客
02-23 544
Basic Skills 熟悉主流Web安全漏洞、OWASP TOP 10、业务逻辑漏洞的风险、原理、危害、利用方式及修复方法。 熟悉主流的安全工具kali linux、awvs、nessus、metasploit、burpsuite、empire、MSF、cobalt strike 、webInspec,并对其原理有一定了解。 熟悉Windows、Linux、unix系统的操作和安...
渗透怎么学?渗透测试中超全的提权思路来了!
bdfcfff77fa的博客
06-26 1196
尽量能够获取webshell,如果获取不到webshell可以在有文件上传的地方上传反弹shell脚本;或者利用漏洞(系统漏洞,服务器漏洞,第三方软件漏洞漏洞)来获取shell。利用kali虚拟机msfVENOM编写反弹shell脚本被控制端发起的shell---通常用于被控制端因防火墙受限,权限不足、端口被占用。
首次成功的web渗透
时光凉春衫薄的博客
03-05 6277
web渗透 今天给大家讲一个最近做的一件令我振奋的一件事情 渗透培训刚刚结束的第二天 我在公网上挖到了我人生中的第一个站 总体来说个人真的很振奋人心 这个网站还没有进行更改但我已经通知了他们的网站管理员对其进行提醒 为了保护这个站点我将这些敏感的信息进行了修改 在这里我想给大家分享一下我拿站的经验,大家多多交流,我相信这些过程的交流会让我们有更好的技术去服务我们的安全社会 ...
软件安全开发渗透测试漏洞管理
"这篇文档是关于渗透测试和软件安全开发的高清PPT,由中启航国际信息技术(北京)有限公司提供。文档详细介绍了渗透测试的概念,即通过模拟黑客攻击来评估系统安全,以及其在发现真实且严重安全漏洞方面的优势和覆盖...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值