当前位置:首页 >  站长 >  网站运营 >  正文

网站渗透测试中的历程经验记录分析

 2020-04-25 12:15  来源: A5用户投稿   我来投稿   websafe的个人主页 撤稿纠错

  项目招商找A5 快速获取精准代理名单

伴随着我的客户圈慢慢扩展,我的薄弱点也更加突显,例如我长期性摸着内部网,对外部网不太熟,对传统式的安全研究评估也拿捏不准确,一个详细的安全新项目自己压根担负不了。为填补外网地址工作经验和安全研究评估工作经验上的缺点,我下定决心要为自己换一份工作——到更加全方位的服务平台去学习大量的东西,提高自己的实际价值。饱经探寻,一家中等规模的安全公司向我抛出去了招纳入职聘请书。我在这个公司刚已入职就接触到了安全风险评测、渗透测试等传统式安全新项目。过去的安全企业里许多安全界的老前辈变成了我的领路人,除了念书通过自学外,我经常向老前辈求教新项目疑难问题。别认为拥有教师就万事如意了,我碰到的麻烦还真多。

还记得第一次是和移动地市级营运商的协作。我想为移动地市级营运商做一个风险评估,但在新项目开展全过程中,另一方少给了我两月财产明细,我还在核查时都没有发觉——这造成很多增加财产(包含新的安全机器设备、新发布的安全系统软件)也没有被处理完毕。持续工作中了十五天,我取出分析报告给客户看时,客户诧异的问:“财产如何少了这么多?”大伙儿一沟通交流才发觉原先有两月的明细沒有录入,这一出错,要我迫不得已再持续挑灯夜读了五个工作日。第二次是我要去做一个渗透的新项目,客户是一个大的政府机构,客户要想对于本身安全安全防护管理体系做一次基本评估,另外也认证我那时候所属企业的安全支撑点工作能力,规定己方对其web网站开展渗透测试,把我选做企业的前锋,首先去观察一下客户的安全安全防护工作能力,要是我可以攻破另一方的系统软件即使达到目标。

结果几日过去了,我试着了多种多样方式 都攻不进去,一开始原以为是客户在服务器防火墙上再次调节对策,过虑和屏蔽掉先前进行的检测数据文件,促使一切信息内容都没搜集到,后边也没有什么构思,只有根据商务同事,了解了下客户,是不是有调节服务器防火墙对策?还记得从商务同事手机上传出了客户有点讽刺的响声“人们沒有调节服务器防火墙的相对对策呢,你们的工程师渗透工作能力也比较弱吧,都还没取得管理权限?

之后商务同事干脆运用本人关联联络了一个杰出黑客——那个人一下子就攻进了政府机构web网站,取得了访问权限,协助公司证明了整体实力,争得来到新项目。这一事情一件事严厉打击挺大,它纯碎是整体实力上的差别,可是这一次却激起了我逐步完善自身的技术能力,掌握新的构思。第三次,我得到来到一家客户的授权,被容许对其內部资产开展安全扫描,但我还在扫描前,遗忘了与客户确定,是不是能够 开展扫描,谁可以料想到,我的渗透测试竟把客户较为关键的三台网络服务器扫挂掉。客户对我莽撞的扫描行为觉得十分不满意。过后.我获知,实际上那时候并并不是由于扫描造成的,仅仅恰好客户的网络服务器在升级,本就并不是很平稳,一扫描就导致服务器宕机了。

经历了这三次比较难堪的事件,我得到了工作经验,一方面提高整体实力是关键所在,另一方面还要学着多和客户沟通交流——做安全,便是安全感,不可以无拘无束,刚开始的情况下差一点点,到最终就不清楚差到哪里去了,说了那么多着都是我自己的学习之路,如果各位朋友想要对网站或app进行渗透测试的话可以向专业的网站安全公司来处理,推荐几家比较专业的如SINESAFE,鹰盾安全,绿盟,安渗科技等等。

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

作者: websafe    /    文章:161篇

相关文章

  • 网站安全防护之常见漏洞有哪些

    文件包含漏洞。文件包含函数中包含的文件参数没有过滤或严格定义,参数可以由用户控制,可能包含意外文件。如果文件中存在恶意代码,无论文件是什么后缀类型,文件中的恶意代码都会被解析执行,导致文件包含漏洞。

  • 网站漏洞防护之SESSION跨站攻击获取

    目前对于网站和APP安全漏洞上对于获取SESSION和COOKIES的问题比较多,很多程序员对一些提交功能没有做更多的过滤,导致被插入了恶意XSS代码从而获取到了后台权限,如果大家想要更全面的检测安全漏洞问题的话可以像国内的网站安全公司寻求人工渗透测试服务的帮助。

    标签:
    网站漏洞
  • 进行网站渗透测试的新人学习感悟

    无论是读书,还是练习,你都需要总结,读书的总结会帮你提炼出书本上的知识点;练习的总结会帮你在以后的道路上不断的去复习,少走弯路。概括起来最好有两种方法:一是绘制思维导图,思维导图比较适合梳理自己的思路点。

  • 渗透测试攻与防之sql延伸注入

    对一些函数变量直接进行强制定义,比如金额函数这里直接限定只能写入正整数类型的数值,那么其他的参数像姓名的话可以直接限定到只允许写入中文和英文的数值,其他的以此类推。

  • 网站建设中常见的数据库SQL漏洞有哪些?

    近年来国家对互联网高科技扶持力度逐渐加大,我国正式进入信息化高速发展的时代,随着信息数据成百倍的增长,伴随而来的信息数据安全问题正在面临严峻的挑战,在企业中网站是企业的形象,网站安全不可忽略,接下来小编就带大家聊聊网站建站中常见的SQL漏洞。

热门排行

信息推荐

扫一扫关注最新创业资讯