转型安全测试,如何快速上手?
作者:苏哲
链接:https://www.zhihu.com/question/49373982/answer/115657187
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
1. 你能挖掘的开源漏洞的漏洞数量
2. 你做的自动化审计的工具
3. 你能把企业的流程拆解设计成什么样子。
链接:https://www.zhihu.com/question/49373982/answer/115657187
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
把大象装进冰箱需要四步。
第一步,阅读安全测试的书籍
推荐阅读下:
《Web安全测试》(Paco Hope,Ben Waltller)【摘要 书评 试读】
《模糊测试—强制性安全漏洞发掘 (美)斯顿(Sutton,M);黄陇,于莉莉,李虎 机械工业》【摘要 书评 试读】
《Python 黑帽子:黑客与渗透测试编程之道》([美]Justin Seitz(贾斯汀·塞茨))【摘要 书评 试读】
《包邮!代码审计:企业级Web代码安全架构 web网站信息安全测试书籍 漏洞挖掘与防范 PH》【摘要 书评 试读】
第二步,使用安全相关的工具
Github和相关论坛上找。构建自己的工具包,黑白盒审计工具。
但是先不要做白盒,白盒你可以自己慢慢测试。白盒的误报太多了。
第三步,做精做细每个审计项目,从黑盒,到手工白盒。
第四步,如果你还有时间,去找开源项目测试,自己挖漏洞,收集方法。
以上是修身的,修自己的。
之后还需要了解业界是怎么做的,如果能结识一些各个公司的同学,你可以看看别人的安全测试是怎么搭建的,看看百度的、阿里的、腾讯的。主要看这三家吧。同时白盒 看看foritify和checkmax的。
安全测试的最终成绩是,1. 你能挖掘的开源漏洞的漏洞数量
2. 你做的自动化审计的工具
3. 你能把企业的流程拆解设计成什么样子。
