网站安全渗透测试中的经验记录分享



      今年针对我国的网络安全公司而言是一个非常好的发展前景,斯诺登功不可没。国家信息安

全现行政策施行,中国各种各样CTF雨后春笋般破壳而出,各种互联网技术与安全企业竞相扩大

自身的安全技术团队,可是我恰好追上了这一好情况下。只报名参加了一次笔试题目和招聘面试

,但却有四家企业对我抛出了橄榄枝,可是我当然是挑选了在其中的一家,刚开始作为一名网络

安全实习生,宣布进入了这一安全行业。

 
 
点开博客后发现许多人对我的感谢,那我也再次写一写后边工作中后的一些深得体会,最初进了

企业,我怀着挺大的希望,期待能在企业里迅速学得大量的姿势,急速成才。但进到企业后我发

现了,繁杂的文本文档占有了工作职责的挺大一部分,我很讨厌每一次渗透完都写一大堆的文本

文档,觉得那样会耗费我的热情。也是发觉到企业后实际上并沒有人教会你什么,大量的還是要

靠通过自学,自然环境不一样也是有益处的,你拥有机遇去开阔眼界看看一些公司的内部网构架

,还有机会掌握中国的安全商品的防御力原理和遍布,更关键的是,有一群小伙伴们与你做着一

样的事,在这个时间范围,人们除开进行新项目上的一些物品,相互也串通着四处找总体目标锻

练技术性,也是在这一时间范围,我撸下了自身职业生涯中的第一个大中型公司级网站—某营运

商视频监控系统软件的漏洞。

 
 
尽管如今来看那只不过家常饭,挺easy,但那时候确实巨大的鼓动了我自信心。由于是实习生,

那时候在企业里事儿也很少,我便刚开始疯狂的渗透中国每个大中型知名企业。而客观事实是,

哪里有那么非常容易,乌云的问世,白帽子们竞相各种各样发掘系统漏洞,让中国的互联网安

全技术实力升高了很多方面,像dz,dede,phpcms早已被挖的非常成熟了,被曝出的系统漏

洞也越来越低,针对我这类技术性还太弱的人而言,就算是白盒都不大可能能挖出系统漏洞,

更不要说黑盒了。在一次次的栽跟头吃灰以后,我终于刚开始反省自己,看见乌云上各种各样

五花八门的花样渗透,许多 都看得懂,但自身却一直意想不到,为何?技能不足?但以现在

我的水准,离考虑到技能还太远,一句话归纳,勤奋不足,工作经验不足。

 
 
我的攻击方式,依然是简易的漏洞扫描系统-专用工具运用-简易绕开-工程爆破这类单层面的

方法上,尽管这类方法也可以挖到一些公司的系统漏洞,但这类方式,早就被大中型互联网

企业和安全企业发堵动弹不得了,学习培训这么多年了,結果我本来可以没能跳出来scriptb

oy的级別。我刚开始很痛楚的思考自身怎么才能再次发展,但却一直无从下手,我依然每日

挖着系统漏洞,尝试找寻一些新的突破点,有一些其他方式 ,但分毫沒有更改,好像一切又

返回了当时刚新手入门时的模样,很难受,难以忍受自身做到这一水平就结束了,但却又没

法更改眼下的情况,做到了一个算作小小瓶颈。

 
 
被企业派到西藏出差,蓝天白云草地,很整洁很纯碎,便是物价水平有点儿小贵。生活的节

奏非常迟缓,每日工作中六七个钟头。因为我多出去些時间想些其他的物品,去西藏布达拉

宫、大昭寺、八角街、玛吉阿米转了转,看这些朝圣者一步一叩头,确实挺震撼人心,有的

情况下,看起来愚昧无知简易的信念,却能给人深刻的打动,随着时间的推移对渗透测试的

热情依旧不减,日后若有想渗透测试网站,想看看网站是否存在漏洞等安全问题的话可以去

看看专业的网站安全公司来处理解决,在这里我推荐几家如SINESAFE,鹰盾安全,绿盟,

安石科技等等都是比较厉害专业的。
分享: