做一名安静的Web渗透测试人员 要必备的8种素质和技能

无疑,Web安全测试工程师或Web渗透测试工程师的任务就是审计公司的Web应用程序、Web服务、Web服务器的安全性。那么,公司如何才能请到优秀的Web应用安全专家而不是纸上谈兵的“赵括”?下面的这八项素质或技能可以为公司选聘Web渗透测试人员提供参考:

1. Web渗透测试人员拥有一定的开发背景(知道如何编码)

公司不可能聘用一位连编写代码都不懂人成为渗透测试人员。公司的Web渗透测试者应首先是开发者,在此基础上才考虑对Web漏洞扫描器的掌握技能,其好处有五个方面:

· 了解所开发WEB应用的漏洞和缺陷;

· 知道如何保障应用的安全,如何为其打补丁,如何测试;

· 可以使评估者开发自己的安全工具;

· 与那些没有任何开发经验的人员相比,如果培训得当,开发者更容易适应测试Web应用的任务。

· 能用简单的脚本编写验证代码,能验证已发布漏洞的真实性。

如果Web渗透测试者甚至不知道如何用html编码,或者以前也从没有做过程序员的工作,公司敢请他从事静态代码的测试吗?

2.了解开放式Web应用程序安全项目(OWASP)

Web渗透测试工程师应熟悉开放式Web应用程序安全项目的TOP 10,即OWASP的最重要文档,这是因为它向渗透测试人员传达了Web应用程序的最重要的安全意识。

OWASP的TOP 10涉及一些最严重的Web应用程序漏洞的细节,其中包括SQL注入、失效的认证和会话管理、跨站脚本攻击、不安全的直接对象引用、安全性的错误配置、敏感数据的暴露、功能级访问控制的缺失、使用有漏洞的组件、未经验证的重定向和转发。

如果渗透测试者能够深入理解和评述OWASP的TOP 10,甚至能够在其自己的实验室或机器上演示这些攻击,他就足以胜任此工作。

除了上述项目,如果渗透测试者还熟悉由OWASP发起的一些项目,如Mutilidae,或者搭建了一个有安全问题的OWASP Web应用项目,他就是一个有着攻击Web应用程序热情的真正爱好者。

3.参与过漏洞奖金项目

什么是漏洞奖金项目?就是由某个公司发起的一个奖励黑客的计划:黑客必须能够在公司提供的应用程序中找到安全漏洞,并且通过一种可靠的揭露方式来报告此漏洞。

如果申请渗透测试工程师的人曾经是一个漏洞奖金猎人(黑客),他就必然曾经遇到和报告过除SQL注入、跨站脚本攻击、RCE之外的非一般漏洞。这证明该黑客能够在公司的应用中找到一些重要漏洞。

如果申请者的名字曾经出现在诸如谷歌、微软、Twitter、Facebook等提供漏洞奖金项目的公司网站上,尤其是他曾经因报告过火狐、IE、Chrome的漏洞而获得过奖金,那么,该申请者就是一位杰出的渗透测试工程师。

4. 在Exploit-DB、Packet Storm或其它漏洞数据库中发布过漏洞利用程序

漏洞利用程序的开发者、漏洞研究人员、漏洞猎人等往往都揭露过开源软件和企业产品中的安全漏洞,尤其值得注意的是,如果这些人员曾经获得过CVE(通用漏洞与披露)的ID或OSVD(开源漏洞数据库)的ID,那将是非常出色的申请者。

这些申请者能够轻松地复制、修复、处理安全扫描器所发现的漏洞。由于这些人员还是精通安全的开发者,因而由他们为特定漏洞开发验证代码是非常容易的。

这些申请者中的多数人还是熟练的逆向工程师和静态代码审计师,所以除非没有受到激励,否则,他们将是很出色的选择。当然,如果他们曾经给Metasploit Framework贡献过漏洞利用模块和辅助模块,更是锦上添花。

5.对安全的好奇心和热情(或称黑客思想)

公司不能雇佣那些只是理论上知道OWASP方法的人,也不应通过其阅读的安全文档而雇佣某人。真正的Web渗透测试者还必须了解如何从外部来思考,并运用或测试这种方法,例如,他可以搭建自己的安全试验室,从而可以练习所学习的方法,攻击其自己的有漏洞的Web应用。

优秀的Web渗透测试工程师应像黑客一样思考,因为黑客是一种充满好奇且不断创新的人。对企业来说,雇佣一个总是愿意和乐于学习的安全专家更好呢,还是雇佣一个拥有许多安全证书、在信息安全领域有了很多知识却没有将其所学应用到实践中的人更好呢?

必须承认,证书并不能造就黑客,成就黑客的是创新精神和激情,但这并不是说安全证书不值钱。

6.精通UNIX或GNU/Linux

虽然多数企业Web应用程序的漏洞扫描器(如IBM的Security Appscan)都运行在Windows上,但仍有许多免费的开源的Linux工具可用于Web渗透测试和审计。

精通GNU/Linux和UNIX可以使渗透测试人员比Windows用户更占优势,因为精通Linux的用户可以更容易地使用Kali Linux和Backbox Linux等绑定了渗透测试工具的Linux发行版。如果申请渗透测试工作的人拥有Linux和UNIX背景,那么使用命令行工具就不是一个问题。

尤其值得注意的是,多数网站都由有着良好稳定性和合理TCO(总拥有成本)的GNU/Linux的服务器管理。

7.安全证书仍是加分项

通过了某项安全认证考试(如CEH、ECSA、CEH、CISSP)本身就是一种投资。用户将时间投资于道德黑客和渗透测试。参加某种安全认证考试的培训可以使用户获得、阅读、学习、练习各种优质资源。

通过某项认证并不能保证某人就已经是一名黑客,却是一个良好的开端和基础。

在雇佣Web安全测试工程师时,通过安全认证并不是必需的,因为Web安全渗透测试仍依赖于申请者的Web安全和安全测试技能。知识、技能、认证三管齐下终归是一种强大证明。

8.参加过安全大会或当地的黑客活动

花费很多时间参加黑客大会(如DEFCON、黑帽、ROOTCON)可能证明申请成为Web渗透测试工程师的人员对安全和黑客文化的激情。黑客大会有很多话题和比赛,其中会向参与者透露很多信息和新的猛料。

本文转自d1net(转载)

时间: 2024-12-03 18:13:27

做一名安静的Web渗透测试人员 要必备的8种素质和技能的相关文章

做一名安静的Web渗透测试人员必备的8种素质和技能

无疑,Web安全测试工程师或Web渗透测试工程师的任务就是审计公司的Web应用程序.Web服务.Web服务器的安全性.那么,公司如何才能请到优秀的Web应用安全专家而不是纸上谈兵的"赵括"?下面的这八项素质或技能可以为公司选聘Web渗透测试人员提供参考: 1. Web渗透测试人员拥有一定的开发背景(知道如何编码) 公司不可能聘用一位连编写代码都不懂人成为渗透测试人员.公司的Web渗透测试者应首先是开发者,在此基础上才考虑对Web漏洞扫描器的掌握技能,其好处有五个方面: · 了解所开发W

kali linux web渗透测试学习笔记

    kali linux web渗透测试学习笔记 metasploit使用方法: 启动: 第一步:启用Postgresql服务.service postgresql start 第二步:启用metasploit服务.service matasploit start 第三步:启动框架.msfconsole 一个ASP站点的sql注入 测试数字型注入点 1.网址:asp?ID+13,后面加',看看是什么数据库,然后输入1=1,1=2,得到数据库是microsoft acess 2.转用sqlma

黑客组织匿名者Anonymous发布操作系统,提供各种Web渗透测试工具

3月15日消息,Windows 8消费者预览版发布后不久,全球知名黑客组织匿名者(Anonymous)就发布了命名为Anonymous-OS的操作系统,并在其官网上给出了公开下载地址. Anonymous发布名为Anonymous-OS的操作系统 据悉,Anonymous-OS操作系统基于Ubuntu11.10,提供了各种Web渗透测试工具,包括: 1.ParolaPass Password Generator(ParolaPass密码发生器) 2.Find Host IP(查找主机IP) 3.

如何进行Web渗透测试

Web渗透测试可以从以下几个方面考虑: 1.SQL Injection(SQL注入) (1)如何进行SQL注入测试? 首先找到带有参数传递的URL页面,如 搜索页面,登录页面,提交评论页面等等. 注1:对 于未明显标识在URL中传递参数的,可以通过查看HTML源代码中的"FORM"标签来辨别是否还有参数传递.在 和的标签中间的每一个参数传递都有可能被利用. Gamefinder 注 2:当你找不到有输入行为的页面时,可以尝试找一些带有某些参数的特殊的URL,如HTTP://DOMAIN

渗透测试工程师的17个常用工具 还有专家告诉你如何成为渗透测试人员—转载绿盟

渗透测试工程师的17个常用工具 还有专家告诉你如何成为渗透测试人员 发布时间:2017年9月15日 07:51    浏览量:2231   渗透测试 (pen testing) 是由安全专家进行的一项安全性测试,其目的是为了在攻击者攻击之前发现系统中的漏洞.它需要聪明的思考.耐心和一点点运气.此外, 大多数安全专家将需要一些具体的工具来帮助完成这项工作. 最近, 外媒跟一些民间组织和一些安全专家进行了沟通,看看他们最喜欢用哪些工具.下面的工具是那些在简单的评估.复杂的项目中曾经用过的工具,其中的

渗透测试人员必备技能:实施渗透测试的HTTP方法

如果你没有积极地参与Web应用程序开发,几乎就不可能了解HTTP协议的内部工作机理,也几乎没有机会知道Web应用程序与数据库进行交互的不同方法,也无法真正知道,当用户点击了一个链接或在浏览器的URL中键入字符时会发生什么. 如果你以前并没有编程技能,也没有积极地参与Web应用程序的开发,就不可能有效地执行渗透测试.作为渗透测试人员,你需要Web应用程序和HTTP协议的基础知识. 作为渗透测试人员,理解信息流是如何从客户端达到服务器,再返回服务器是非常重要的.举个例子,一位给你修电视的技术人员在接

测试人员除必备的专业知识还需要那些软技能

在测试过程中,无论是提交缺陷还是文档评审,测试人员都离不开和开发人员的合作和沟通.测试人员还可能需要从客户那里了解用户是如何使用产品的,或者因为产品的质量问题,从用户那里得到反馈甚至抱怨.因此,在复杂的测试工作环境中,测试人员除了必备的专业知识和测试技能以外,还需要具备一定的软技能. 软技能实际上是指那些"不易看见的技能",是一个人"激发自己潜能和通过赢得他人认可和合作放大自己的资源,以获得超越自身独立能力的更大成功的技能"的总和. 软技能其实是情商 EQ(Emot

从几个方向进行Web渗透测试

1.SQL Injection(SQL注入)   (1)如何进行SQL注入测试? 首先找到带有参数传递的URL页面,如 搜索页面,登录页面,提交评论页面等等. 对于未明显标识在URL中传递参数的,可以通过查看HTML源代码中的"FORM"标签来辨别是否还有参数传递,在<FORM> 和</FORM>的标签中间的每一个参数传递都有可能被利用. 1 2 3 4 5 6 7 8 9 10 11 12 13 <form id="form_search&qu

《Metasploit渗透测试手册》目录—导读

版权声明 Metasploit渗透测试手册 Copyright Packt Publishing 2012. First published in the English language under the title Advanced Penetration Testing for Highly-Secured Environments: The Ultimate Security Guide. All Rights Reserved. 本书由英国Packt Publishing公司授权人民