owasp渗透测试指南读后感
在看owasp渗透测试指南(2014)时,有了一些思考,于是写了这篇文章。
许多安全从业人员对安全测试的认识仍然停留在渗透测试的范围内。正如之前讨论,渗透测试虽然发挥了一定的作用,但它的作用不足以发现所有的漏洞,同时它过分依赖测试者的技巧。
渗透测试只能当做是一种执行技术或者是用来提高对产生问题的意识。要改善应用程序的安全,必须提高软件的安全质量。
看到了书中这么说,我也有很多的想法。
上一次在安洵信息面试渗透测试实习,面试官(简称w)让我学习到了很多。
w和我交流了关于渗透技巧方面的东西。
1 |
|
对我的建议,渗透测试要多实战;写的工具,需要帮助实战,如果工具能做到的,手工也能做到,那就没有任何意义。要么工具是为了提高手工的效率,要么是为了达到手工做不到的事。
于是我有了这种感觉。渗透技术高深者,往往掌握了很多漏洞的利用技巧,但每年都有新的软件问世,人不能终日follow所有的漏洞,于是我迷茫了。
w的说法是,只能尽力的学。从他的语气中,我感受到了一种无力感。漏洞利用再多,再熟练,那也只能用别人的工具,别人写好的exploit。w也自称脚本小子。
实战派黑客
黑帽子,白帽子。
对漏洞的处理方式不同,造成了两大阵营。
黑帽子将利用漏洞,放勒索软件、木马;白帽子帮助企业提高安全性。
与网络安全学院的同学交流后,我发现学院派有一个重视理论的倾向。比如说研究下密码学,计算机数学理论。
学安全技术,有些人的目的,可能是拿到本科、研究生的文凭。
有些人的目的,可能是获取企业机密信息,比如泄露的开房数据,去卖钱。
有些人的目的,比如说我,作为一个信息安全专家,为了提高企业的安全性。
最近请教了前辈,一些学习方向之类的问题以及经验。2018.11.07.记录一下
以下是总结:
1 |
|