当前位置:首页 >  站长 >  网站运营 >  正文

网站渗透测试中的历程经验记录分析

 2020-04-25 12:15  来源: A5用户投稿   我来投稿   websafe的个人主页 撤稿纠错

  短视频,自媒体,达人种草一站服务

伴随着我的客户圈慢慢扩展,我的薄弱点也更加突显,例如我长期性摸着内部网,对外部网不太熟,对传统式的安全研究评估也拿捏不准确,一个详细的安全新项目自己压根担负不了。为填补外网地址工作经验和安全研究评估工作经验上的缺点,我下定决心要为自己换一份工作——到更加全方位的服务平台去学习大量的东西,提高自己的实际价值。饱经探寻,一家中等规模的安全公司向我抛出去了招纳入职聘请书。我在这个公司刚已入职就接触到了安全风险评测、渗透测试等传统式安全新项目。过去的安全企业里许多安全界的老前辈变成了我的领路人,除了念书通过自学外,我经常向老前辈求教新项目疑难问题。别认为拥有教师就万事如意了,我碰到的麻烦还真多。

还记得第一次是和移动地市级营运商的协作。我想为移动地市级营运商做一个风险评估,但在新项目开展全过程中,另一方少给了我两月财产明细,我还在核查时都没有发觉——这造成很多增加财产(包含新的安全机器设备、新发布的安全系统软件)也没有被处理完毕。持续工作中了十五天,我取出分析报告给客户看时,客户诧异的问:“财产如何少了这么多?”大伙儿一沟通交流才发觉原先有两月的明细沒有录入,这一出错,要我迫不得已再持续挑灯夜读了五个工作日。第二次是我要去做一个渗透的新项目,客户是一个大的政府机构,客户要想对于本身安全安全防护管理体系做一次基本评估,另外也认证我那时候所属企业的安全支撑点工作能力,规定己方对其web网站开展渗透测试,把我选做企业的前锋,首先去观察一下客户的安全安全防护工作能力,要是我可以攻破另一方的系统软件即使达到目标。

结果几日过去了,我试着了多种多样方式 都攻不进去,一开始原以为是客户在服务器防火墙上再次调节对策,过虑和屏蔽掉先前进行的检测数据文件,促使一切信息内容都没搜集到,后边也没有什么构思,只有根据商务同事,了解了下客户,是不是有调节服务器防火墙对策?还记得从商务同事手机上传出了客户有点讽刺的响声“人们沒有调节服务器防火墙的相对对策呢,你们的工程师渗透工作能力也比较弱吧,都还没取得管理权限?

之后商务同事干脆运用本人关联联络了一个杰出黑客——那个人一下子就攻进了政府机构web网站,取得了访问权限,协助公司证明了整体实力,争得来到新项目。这一事情一件事严厉打击挺大,它纯碎是整体实力上的差别,可是这一次却激起了我逐步完善自身的技术能力,掌握新的构思。第三次,我得到来到一家客户的授权,被容许对其內部资产开展安全扫描,但我还在扫描前,遗忘了与客户确定,是不是能够 开展扫描,谁可以料想到,我的渗透测试竟把客户较为关键的三台网络服务器扫挂掉。客户对我莽撞的扫描行为觉得十分不满意。过后.我获知,实际上那时候并并不是由于扫描造成的,仅仅恰好客户的网络服务器在升级,本就并不是很平稳,一扫描就导致服务器宕机了。

经历了这三次比较难堪的事件,我得到了工作经验,一方面提高整体实力是关键所在,另一方面还要学着多和客户沟通交流——做安全,便是安全感,不可以无拘无束,刚开始的情况下差一点点,到最终就不清楚差到哪里去了,说了那么多着都是我自己的学习之路,如果各位朋友想要对网站或app进行渗透测试的话可以向专业的网站安全公司来处理,推荐几家比较专业的如SINESAFE,鹰盾安全,绿盟,安渗科技等等。

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

作者: websafe    /    文章:142篇

相关标签
网站漏洞

相关文章

  • 网站安全渗透测试的多种姿势

    我认为,无论是带着全栈的工作经验,还是只能一部分技术性专业知识,要想搞好安全测试务必先变换我们观查软件的角度。举个事例,我们一起看一下:一样一幅画,许多人一眼看以往见到的是2个面部,而许多人见到的是一个大花瓶。这就是观查角度的不一样导致的。在我一开始触碰安全测试时就很深的感受来到这一点。那时候我还在

  • 网络安全公司实习生的经验分享

    前几日,见到TSRC的小密圈里进行了一个“高手”主题活动,聊一聊刚入行后,你心中身旁的高手,刚见到主题活动的情况下哥哥去参加了。这里,再次整理一下,也衷心感谢聊一聊零基础的我是怎样迈入安全行业,小结一下本身的成长历程,谢谢一下这一路上遇到的人。读大学那会,人们学的网络安全就真的是纯碎的”网络安全“,

  • 网站安全渗透测试行业如何踏入

    实际上这个问题有很多人跟我说,非科班可不可以?没触碰过程序编写,去培训班培训几个月可不可以?30岁了想从传统产业改行回来从业网络信息安全可不可以?实际上从我前边的叙述大伙儿也可以看出去,安全行业实际上对出身并不是很注重,但这也并不代表轻易就能改行回来。

  • 针对网站安全防护 探讨waf防火墙的作用

    这篇文章内容关键详细介绍WAF的一些基本概念。WAF是专业为维护根据Web程序运行而设计的,我们科学研究WAF绕开的目地一是协助安服工作人员掌握渗透检测中的检测方法,二是可以对安全机器设备生产商出示一些安全提议,立即修补WAF存有的安全难题,以提高WAF的完备性和抗攻击能力。

  • 如何防止企业网站被黑客入侵攻击

    企业官网和个人网页都不可以忽略网站安全问題,一旦一个网站被黑客入侵,忽然来临的网站安全问題会给网站产生致命性的伤害。为了避免网站安全问題的产生,人们能够采用一些必需的对策,尽量减少网站被黑客攻击。下边是几个一定要了解的网站安全防范措施的详细描述。

  • 网站不是【IPv6】,将被列入国家黑名单?

    有了IPv6,地球上的每件物品不仅能拥有自己的户口,而且还可以“1分钟要到TA的全部资料”,简直太棒啦!

  • 疫情之下小程序商城该如何更好的推广运营?

    微信小程序商城依托微信的社交属性,自带流量,无需下载,用完即走的特性,备受商家追捧,据小编观察,最明显的变化是我们在经营过程中发现购买微信小程序商城源码的人数在不断的上升,这也从侧面反映出微信小程序商城的线上数量也在不断增加,那么如何从众多的小程序商城中脱颖而出,将是我们下来要探讨的话题。

    标签:
    小程序商城
  • http和https的区别

    域名地址都很好理解,不同的域名地址表示网站中不同的页面,而通信协议,简单来说就是浏览器和服务器之间沟通的语言。网站中的通信协议一般就是HTTP协议和HTTPS协议。两者分别是什么,有什么区别呢?

  • 站长最容易忽视的几个细节

    SEO优化是一个不断自我审查与经验总结的过程,从而提高自己的SEO技术。但是一些细节问题往往容易忽视,即使在站长圈,你也会发现很多站长容易忽视一些问题。而SEO,恰恰是一个特别需要注意细节化的工作

  • 软文营销平台从哪里建立?就从这里开始

    有一些公众号或者是微信平台也可以建立软文营销平台。这些公众号如果做的好,流量和用户关注度也是相当可以的。而且微信公众号对于微信用户的朋友圈可以进行一个精准的定位,可以发现他们所感兴趣的内容,从而对自己软文的内容进行提升和改善。这样的软文更符合用户的心理需求,因此能够更加受欢迎。

    标签:
    软文营销
  • 什么是PPC?为什么你会用到它?

    尽管GoogleAds中直接提供了许多数据和效果信息,但是获得的信息的价值不仅限于PPC。每个关键字的展示次数,点击次数和转化数据可用于建议SEO策略和内容营销工作。除此之外,您还可以使用内置的关键字规划师和展示广告规划师工具来查找受众群体。

    标签:
    ppc
  • 牟长青个人博客因未备案关闭

    从17年博客停止更新后,近日留意到牟长青个人博客muchangqing.com因为备案问题网站关闭了,暂停访问了!

  • 小说网站建站赚钱怎么操作?

    现在手机用户很多,一般人不喜欢记网址、输网址。为了用户更方便的二次进入你的网站,可以做一个app。可以自己找一些免费的网站进行封装,也可以花钱找人制作。能够发布到市场就更好了,可以给网站带来不小的流量。

    标签:
    建站赚钱
  • 做什么网站赚钱?试试小说网站吧

    目前,流量是重要的网络资源,要想办法不断积累自己的客户,形成自己的资源库。有了自己的资源之后,以后无论做什么,都可以站在更高的起点上。比较典型的,就是以前做博客的,通过引流很快把微博做大。

  • 网站渗透测试行业中需要文凭吗

    渗透测试,包含全部互联网行业,实际上对文凭并不是太注重。校园招聘,尤其是大企业校园招聘,由于是应对大批量的潜在性优秀人才,一般都是设定院校、文凭的门坎,做为提升招骋高效率的过滤标准。可是假如你真有本事,用真理的客观性摆出来,让用人公司看得到,那么可直接走社会招聘的道路,文凭包含高校的院校级别,应当是

热门排行

信息推荐

扫一扫关注最新创业资讯