owasp渗透测试指南读后感

在看owasp渗透测试指南(2014)时,有了一些思考,于是写了这篇文章。

许多安全从业人员对安全测试的认识仍然停留在渗透测试的范围内。正如之前讨论,渗透测试虽然发挥了一定的作用,但它的作用不足以发现所有的漏洞,同时它过分依赖测试者的技巧。

渗透测试只能当做是一种执行技术或者是用来提高对产生问题的意识。要改善应用程序的安全,必须提高软件的安全质量。

看到了书中这么说,我也有很多的想法。

上一次在安洵信息面试渗透测试实习,面试官(简称w)让我学习到了很多。

w和我交流了关于渗透技巧方面的东西。

1
2
3
比如说apache服务器的配置,在conf文件中,语句是这样是什么意思。答案是,是留后门的一种方式,可以将图片解析为脚本,作为图片木马获得webshell。

比如说,linux一些命令,清日志、查看在线的用户、ssh转发之类的。

对我的建议,渗透测试要多实战;写的工具,需要帮助实战,如果工具能做到的,手工也能做到,那就没有任何意义。要么工具是为了提高手工的效率,要么是为了达到手工做不到的事。

于是我有了这种感觉。渗透技术高深者,往往掌握了很多漏洞的利用技巧,但每年都有新的软件问世,人不能终日follow所有的漏洞,于是我迷茫了。

w的说法是,只能尽力的学。从他的语气中,我感受到了一种无力感。漏洞利用再多,再熟练,那也只能用别人的工具,别人写好的exploit。w也自称脚本小子。

实战派黑客

黑帽子,白帽子。

对漏洞的处理方式不同,造成了两大阵营。
黑帽子将利用漏洞,放勒索软件、木马;白帽子帮助企业提高安全性。

与网络安全学院的同学交流后,我发现学院派有一个重视理论的倾向。比如说研究下密码学,计算机数学理论。

学安全技术,有些人的目的,可能是拿到本科、研究生的文凭。

有些人的目的,可能是获取企业机密信息,比如泄露的开房数据,去卖钱。

有些人的目的,比如说我,作为一个信息安全专家,为了提高企业的安全性。

最近请教了前辈,一些学习方向之类的问题以及经验。2018.11.07.记录一下

以下是总结:

1
2
3
4
5
6
7
8
9
1.黑产关注的是业务安全(非传统安全),门槛低+易变现。
高深的漏洞,需求在于国家、比特币等特殊行业
2. 安全企业,斗象科技、创宇——互联网乙方。
互联网公司——美团、bat、滴滴等等
3.研究乌云案例。
4.安全问题是程序员的意识不足。需要加强代码能力,能够挖的漏洞越深,编程水平越厉害。
5.乙方渗透岗位,工作内容。挖漏洞,代码审计(乌云的套路)。
技术深度,甲方乙方实验室>甲方互联网行业安全部门>乙方互联网行业安全部门>传统安全服务部门>传统企业安全部门。
6.巡风poc,一个扫描器。github搜索xunfeng。