回覆列表
-
1 # 海陽頂端
-
2 # 發哥微課堂
技能1:TOP10。 水平:原理,利用,防禦。
技能2:工具。 水平:要會用。
技能3:HTML、JS。 水平:基本的網頁和指令碼會編寫。
總結:get這些技能,然後去實踐,然後總結找問題並最佳化,不斷提高。
-
3 # 丁牛科技
想要成為一名合格的滲透測試工程師,首先要具備以下技能和水平:
1.自己處理的了Web、EXE木馬免殺
2.獨立審計的了Web程式碼
3.挖的了常規的Web安全漏洞
4.能夠獨立應急、報告撰寫
5.有一定跟客戶溝通的能力
6.對EXP、POC可以編寫
7.對安卓APP能夠獨立逆向
這個問題怎麼講呢?你是說算是一個公司的合格滲透師,還是你我心目中的合格滲透師。如果只想去一個網路安全公司做一個合格的滲透師,我認為你要掌握的技能應當有以下幾點:
一、文件排版和寫作能力。
不要疑問,我把這個技能放在了首位。我見識過很多水平很高的滲透駭客,但是文件寫作能力極差,客戶已有的漏洞問題講不清楚,還自以為是的拿個webshell或系統許可權就證明了自己厲害,說明了一切問題,但是客戶是看不懂的,客戶要看的是滲透報告的。再是幾乎是所有的駭客,我看都不會排版出一份讓人覺得舒適漂亮的報告文件,都在哪用記事本寫,寫完需要公司的另一個人去排版。我以前在北京網路安全公司工作的時候,去和另一家公司競標,明明對方比我們公司技術實力雄厚,但是憑藉著我做秘書多年的文字功底,還是獲得了這份競標的。
二、具備熟悉各大掃描器的功能和對漏洞名詞以及危害的瞭解
在一個公司做一個滲透師,其實水平不要多高,但是最基本的你要學會使用各大掃描器。像awvs 、Netsparker等的使用,這些掃描器掃客戶的網站,基本多多少少都能掃到一些漏洞的,這些掃描器掃到的漏洞會有一些專業的名詞也會自動出一份漂亮的報告。但是如何向客戶解釋這些漏洞的危害,像明明是一個簡單幾乎是無法利用的的url裡的xss漏洞,如何闡明它的危害,讓客戶重視起來,你起碼手頭就要準備一個xss漏洞危害的案例了。
三、剩下的其它