这几天在2020RSAC安全行业大会议上听了一位渗透老板的经验分享，感觉受益匪浅。

一、渗透测试服务中的常见问题

1.对于客户网站系统，我们之前在其他几家安全公司做过渗透测试服务，那么接下来应该怎么进行呢？深入分析客户方案，细心细致发现全方位深层次的方案漏洞。

2.如果客户的程序部署了环境waf防火墙服务，我们应该如何进行？也可以绕过web防火墙进行渗透测试，比如也可以利用内部局域网的技术手段进行测试。客户现有的网站安全防护可能不安全，容易被绕过。

3.对于使用ukey硬件设备进行登录验证的客户端程序，您还需要进行安全渗透测试吗？

Ukey硬件设备的安全性也需要验证安全测试。过去，设备发出验证后，验证可以重复使用。

4.客户端程序，网络层协议用SSL证书加密传输，传输的数据也做了rsa加密，导致数据包无法拦截。接下来该怎么办？

尝试一些常用的破解方法，比如伪造https证书、重置协议、对授权程序进行渗透测试等。切勿测试未经授权的系统。

5.客户端网站程序好像是静态网页，无法进入渗透测试。我该怎么办？

网站不断专注于包分析，然后寻找具备动态脚本交互功能的地方发现问题。

6、客户的系统程序，我们需要扫描网站漏洞扫描器吗？

尽量不要使用漏洞扫描器，减少对客户现有运行系统的破坏，尤其是敏感的关键程序，不要穿透内网。对于需要测试的敏感程序，最好申请设置测试环境，使用测试账号或者申请账号。

7.客户端程序似乎在安全渗透测试中被入侵了。怎么处理？

如果您发现黑客攻击的迹象，您应该立即通知客户，并随时准备对安全问题做出回应

二、实践经验的积累

1.每次渗透客户项目，客户系统安全测试都会是你成长路上的老师。

2.从渗透测试过程中分析自身的不足，然后在以后的项目行动中弥补不足。

3.善于与比自己优秀的人沟通、协商、咨询、学习。

4.要不断拓展知识层次，不断提高解决问题的能力。

5.遇到困难不要退缩，要有自信，坚信自己能完成每一项任务和挑战。

6.安全知识论坛、渗透圈、安全杂志、周刊、漏洞平台都能给你体验。

7.业余时间经常参加一些网络安全比赛，在比赛中积累实战经验，培养良好的应对素质。

三.客户关系的处理

1.在项目渗透之前，有必要了解客户的需求，哪些限制或原则是不能触及的。

2.在网站渗透测试项目中，要倾听客户的选择和要求。如果有特殊要求，要向客户提出，协商处理。

3.渗透测试完成后，需要立即组织安全报告，并与客户做一个简单的工作报告。

4.工作中遇到障碍或者客户对你的任务不满意，不要找借口，立即向领导干部汇报。

5.遇到自己不擅长的技术测试项目时，要在客户面前保持冷静，不要逞强，立即向其他同事求助。

6.了解自己的角色定位和客户提出的需求，并向领导干部汇报，向领导干部请示。

7.渗透测试后获得的敏感程序文件。当向客户解释时，数据将被删除。

四、攻防实战演练

1.建立公司内部信息安全实验室，模拟验证最新的网络攻防实战演练环境。

2.跟进符合自己业务的漏洞，恢复攻击方式、利用成本和漏洞修复。

3.攻防实战演练有所上升

5.从未知攻击的角度量化分析攻击的存在，并针对攻击调度应急处理方法。

6.网站漏洞防护已经变得无法防范，做好安全管控工作迫在眉睫。

动词（verb的缩写）安全职业规划

1、自己心里要有计划，但最好在五年内逐步提高自己的渗透技术实力。

2.如果对渗透测试不再感兴趣，就要尽快选择其他职业，不要耽误事业。

3、在合理的时间段内，你也可以选择适当的换工作，融入到同样可以提升自己的企业中。

4.要循序渐进地从技术职业向管理职业转变，学习管理方法，提高领导能力。

5.要进一步增加自己的人际圈，千万不要限制自己的人际交往范围。

6.想成为渗透测试公司的朋友，就要透彻分析公司管理和财务会计的知识，千万不要贸然创业。

7.准备从事安全防护产品研发的朋友，一定要注意你研发的安全产品能否解决用户的实际问题。

8.如果企业或个人想在自己的系统或平台上进行安全渗透测试，比如寻找漏洞，可以咨询专业的网站安全公司。国内公司如Sinesafe、鹰盾安全、启明星辰、绿盟等都是比较好的首选。

« 打包是代理运营的，哪个好吃的店值得信赖？ | 我经常说科学技术来行动。携手构筑内容生态新秩序，打造绿色内容视频平台 »