1、甲方客户系统,之前做过渗透测试,我们要怎么做?
深入了解客户系统,进而挖掘深层次漏洞。
2、甲方客户系统,部署WAF,我们要怎么做?
首先绕过防火墙进行测试,比如通过内部wifi的手段或者利用工具sqlmap等。客户已有的安全防护,不一定安全,很容易被绕过,所以要进行多种测试。
3、甲方客户系统,采用Ukey登录,还需要渗透吗?
Ukey的安全性也需要验证,之前有ukey发送一个验证,然后这个验证可以重复使用的情况。
4、甲方客户系统,网络协议是加密的,抓不到数据包,怎么办?
尝试一些破解的方式,对授权系统进行渗透时,最好别对其他系统进行测试
5、甲方客户系统,我们要不要上扫描器进行扫描?
尽量不要用扫描器,降低对客户系统的伤害,特别是敏感关键系统,也别内网渗透。敏感系统进行测试,最好申请搭建测试环境,或申请账号。
6、甲方客户系统,好像是静态页面,搞不进去,怎么办?
抓数据包,寻找有动态交互的地方。
7、甲方客户系统,渗透测试发现好像已经入侵,怎么办?
发现被入侵迹象,要及时通知客户,进行分析,并随时准备应急响应
1、每次渗透测试项目,甲方客户系统都会是你成长的老师多总结,多分析
2、从渗透测试过程中了解自身的不足,然后用行动去弥补不足之处多练习,多总结
3、要善于和比自己强的人进行沟通,交流、请教和学习再进行总结
4、要不断的扩充自己的知识面,不断地提升自己的应对能力
5、遇事不要退缩,要有信心,坚信自己可以完成每一项任务挑战
6.遇事冷静,每天积累一点点总结起来,滴水石穿
7、适当参加一些网络安全比赛,积累比赛经验,培养良好素质
8、知识论坛、圈子、杂志、周刊、漏洞平台都可以给予你营养
三、和客户之间的沟通
1、在对甲方展开渗透之前要问清楚客户需求,比如哪些底线或原则是不能触碰的
2、渗透测试项目中要尊重客户的选择,如有特殊需求要向客户提,甲方同意后在执行
3、渗透测试结束后,要及时跟客户做一个简单工作汇报
4、工作中如遇到阻力或者客户对工作不满意,千万别找理由,要及时跟领导汇报
5、碰到自己不擅长的项目,在甲方客户面前要低调一点,要及时找同事帮助虚心请教,总结经验,下次运用到工作中
6、必须认清自己的角色,甲方客户提的需求,要向领导进行汇报,请领导指示不要擅自做主
7、渗透测试后获取的敏感系统文档。数据、要跟甲方客户表述会进行删除处理多沟通,及时处理
四、攻防实战演练
1、组建公司内部的信息安全实验室、模拟验证最新网络攻防实战环境见此内部网络安全性
2、对符合自身业务的漏洞进行跟踪,还原攻击方式、利用成本和漏洞修复
3、攻防实战演练从人与系统的对抗,上升至人与人之间的较量发现问题提早预防
4、建立完善的攻击监控系统,对内外防御要做到有情能查,有情必究
5、红蓝双方的攻防对抗,要逐步行程常态化攻防演练
6、从不明攻击的角度去量化攻击的存在,并行程攻击处置方法
7、漏洞防御已经变的防不胜防,做好安全管控已经迫在眉睫
五、团队建设
1、向团队核心人物看齐,如果团队没有核心,那团队就危险了
2、善于与团队成员配合,取长补短,共同进步
3、梳理团队成员责任心,做人做事认真、负责
4、合理划分团队成员职责、人物,确保工作高效运行
5、善于处理团队中产生的矛盾、分歧、以最小化影响进行处理
6、积极为团队成员排忧解难,全身心投入工作
7、建立培训计划,定期组织团队进行内部技能培训和分享,提升团队能力
六、职业规划
1、自己心里要有计划,但最好在五年之内逐步提升自己的技术实力
2、如果对渗透测试没有兴趣了,要趁早选择自己的第二职业,别耽误事
3、合理时间范围内、可以适当选择跳槽,融入可以提升你自己的企业
4、要逐步从技术向管理转变、学习管理方法,提高管理能力
5、要逐步扩大自己的人际圈子,千万不要束缚自己的交际范围
6、想要创业的朋友,要了解公司管理和财务管理方面的知识,千万别盲目创业
7、准备研发产品的朋友,一定要注意你研发的产品,是否能解决用户的痛点
8731
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
