[ 更换 ]
热门城市
北京上海广州深圳成都杭州南京武汉天津西安重庆青岛沈阳长沙大连厦门无锡福州济南宁波昆明苏州郑州长春合肥南昌哈尔滨常州烟台南宁温州石家庄太原珠海南通扬州贵阳东莞徐州大庆佛山威海洛阳淮安呼和浩特镇江潍坊桂林中山临沂咸阳包头嘉兴惠州泉州三亚赣州九江金华泰安榆林许昌新乡舟山慈溪南阳聊城海口东营淄博漳州保定沧州丹东宜兴绍兴唐山湖州揭阳江阴营口衡阳郴州鄂尔多斯泰州义乌汕头宜昌大同鞍山湘潭盐城马鞍山襄樊长治日照常熟安庆吉林乌鲁木齐兰州秦皇岛肇庆西宁介休滨州台州廊坊邢台株洲德阳绵阳双流平顶山龙岩银川芜湖晋江连云港张家港锦州岳阳长沙县济宁邯郸江门齐齐哈尔昆山柳州绍兴县运城齐河衢州太仓张家口湛江眉山常德盘锦枣庄资阳宜宾赤峰余姚清远蚌埠宁德德州宝鸡牡丹江阜阳莆田诸暨黄石吉安延安拉萨海宁通辽黄山长乐安阳增城桐乡上虞辽阳遵义韶关泸州南平滁州温岭南充景德镇抚顺乌海荆门阳江曲靖邵阳宿迁荆州焦作丹阳丽水延吉茂名梅州渭南葫芦岛娄底滕州上饶富阳内江三明淮南孝感溧阳乐山临汾攀枝花阳泉长葛汉中四平六盘水安顺新余晋城自贡三门峡本溪防城港铁岭随州广安广元天水遂宁萍乡西双版纳绥化鹤壁湘西松原阜新酒泉张家界黔西南保山昭通河池来宾玉溪梧州鹰潭钦州云浮佳木斯克拉玛依呼伦贝尔贺州通化朝阳百色毕节贵港丽江安康德宏朔州伊犁文山楚雄嘉峪关凉山雅安西藏四川广东河北山西辽宁黑龙江江苏浙江安徽福建江西山东河南湖北湖南海南贵州云南陕西甘肃青海台湾内蒙古广西宁夏香港澳门
培训资讯网 - 为兴趣爱好者提供专业的职业培训资讯知识

做一名安静Web渗透测试人员必备的8种素质和技能

人员 技能 测试 素质

无疑,Web安全测试工程师或Web渗透测试工程师的任务就是审计公司的Web应用程序、Web服务、Web服务器的安全性。那么,公司如何才能请到优秀的Web应用安全专家而不是纸上谈兵的“赵括”?下面的这八项素质或技能可以为公司选聘Web渗透测试人员提供参考:

1. Web渗透测试人员拥有一定的开发背景(知道如何编码)

公司不可能聘用一位连编写代码都不懂人成为渗透测试人员。公司的Web渗透测试者应首先是开发者,在此基础上才考虑对Web漏洞扫描器的掌握技能,其好处有五个方面:

· 了解所开发WEB应用的漏洞和缺陷;

· 知道如何保障应用的安全,如何为其打补丁,如何测试;

· 可以使评估者开发自己的安全工具;

· 与那些没有任何开发经验的人员相比,如果培训得当,开发者更容易适应测试Web应用的任务。

· 能用简单的脚本编写验证代码,能验证已发布漏洞的真实性。

如果Web渗透测试者甚至不知道如何用html编码,或者以前也从没有做过程序员的工作,公司敢请他从事静态代码的测试吗?

2.了解开放式Web应用程序安全项目(OWASP)

Web渗透测试工程师应熟悉开放式Web应用程序安全项目的TOP 10,即OWASP的最重要文档,这是因为它向渗透测试人员传达了Web应用程序的最重要的安全意识。

OWASP的TOP 10涉及一些最严重的Web应用程序漏洞的细节,其中包括SQL注入、失效的认证和会话管理、跨站脚本攻击、不安全的直接对象引用、安全性的错误配置、敏感数据的暴露、功能级访问控制的缺失、使用有漏洞的组件、未经验证的重定向和转发。

如果渗透测试者能够深入理解和评述OWASP的TOP 10,甚至能够在其自己的实验室或机器上演示这些攻击,他就足以胜任此工作。

除了上述项目,如果渗透测试者还熟悉由OWASP发起的一些项目,如Mutilidae,或者搭建了一个有安全问题的OWASP Web应用项目,他就是一个有着攻击Web应用程序热情的真正爱好者。

3.参与过漏洞奖金项目

什么是漏洞奖金项目?就是由某个公司发起的一个奖励黑客的计划:黑客必须能够在公司提供的应用程序中找到安全漏洞,并且通过一种可靠的揭露方式来报告此漏洞。

如果申请渗透测试工程师的人曾经是一个漏洞奖金猎人(黑客),他就必然曾经遇到和报告过除SQL注入、跨站脚本攻击、RCE之外的非一般漏洞。这证明该黑客能够在公司的应用中找到一些重要漏洞。

如果申请者的名字曾经出现在诸如谷歌、微软、Twitter、Facebook等提供漏洞奖金项目的公司网站上,尤其是他曾经因报告过火狐、IE、Chrome的漏洞而获得过奖金,那么,该申请者就是一位杰出的渗透测试工程师。

4. 在Exploit-DB、Packet Storm或其它漏洞数据库中发布过漏洞利用程序

漏洞利用程序的开发者、漏洞研究人员、漏洞猎人等往往都揭露过开源软件和企业产品中的安全漏洞,尤其值得注意的是,如果这些人员曾经获得过CVE(通用漏洞与披露)的ID或OSVD(开源漏洞数据库)的ID,那将是非常出色的申请者。

这些申请者能够轻松地复制、修复、处理安全扫描器所发现的漏洞。由于这些人员还是精通安全的开发者,因而由他们为特定漏洞开发验证代码是非常容易的。

这些申请者中的多数人还是熟练的逆向工程师和静态代码审计师,所以除非没有受到激励,否则,他们将是很出色的选择。当然,如果他们曾经给Metasploit Framework贡献过漏洞利用模块和辅助模块,更是锦上添花。

5.对安全的好奇心和热情(或称黑客思想)

公司不能雇佣那些只是理论上知道OWASP方法的人,也不应通过其阅读的安全文档而雇佣某人。真正的Web渗透测试者还必须了解如何从外部来思考,并运用或测试这种方法,例如,他可以搭建自己的安全试验室,从而可以练习所学习的方法,攻击其自己的有漏洞的Web应用。

优秀的Web渗透测试工程师应像黑客一样思考,因为黑客是一种充满好奇且不断创新的人。对企业来说,雇佣一个总是愿意和乐于学习的安全专家更好呢,还是雇佣一个拥有许多安全证书、在信息安全领域有了很多知识却没有将其所学应用到实践中的人更好呢?

必须承认,证书并不能造就黑客,成就黑客的是创新精神和激情,但这并不是说安全证书不值钱。

6.精通UNIX或GNU/Linux

虽然多数企业Web应用程序的漏洞扫描器(如IBM的Security Appscan)都运行在Windows上,但仍有许多免费的开源的Linux工具可用于Web渗透测试和审计。

精通GNU/Linux和UNIX可以使渗透测试人员比Windows用户更占优势,因为精通Linux的用户可以更容易地使用Kali Linux和Backbox Linux等绑定了渗透测试工具的Linux发行版。如果申请渗透测试工作的人拥有Linux和UNIX背景,那么使用命令行工具就不是一个问题。

尤其值得注意的是,多数网站都由有着良好稳定性和合理TCO(总拥有成本)的GNU/Linux的服务器管理。

7.安全证书仍是加分项

通过了某项安全认证考试(如CEH、ECSA、CEH、CISSP)本身就是一种投资。用户将时间投资于道德黑客和渗透测试。参加某种安全认证考试的培训可以使用户获得、阅读、学习、练习各种优质资源。

通过某项认证并不能保证某人就已经是一名黑客,却是一个良好的开端和基础。

在雇佣Web安全测试工程师时,通过安全认证并不是必需的,因为Web安全渗透测试仍依赖于申请者的Web安全和安全测试技能。知识、技能、认证三管齐下终归是一种强大证明。

8.参加过安全大会或当地的黑客活动

花费很多时间参加黑客大会(如DEFCON、黑帽、ROOTCON)可能证明申请成为Web渗透测试工程师的人员对安全和黑客文化的激情。黑客大会有很多话题和比赛,其中会向参与者透露很多信息和新的猛料。

相关内容

沁源县沁河乡村e镇抖音直播培训开班啦!欢迎同学踊跃报名!

免费培训!免费午餐!快来报名吧!抖音直播带货培训基础培训、实操入门培训及进阶培训为巩固拓展脱贫攻坚成果同乡村振兴有效衔接,培育新的经济增长点,助力农民增收,更深入开展沁源县乡村e镇项目工作,完善沁源县电商人才培训体系,满足农村居民美好生活需···

山西省林学会举办自然教育人力资源双创服务培训班

山西省林学会举办山西省自然教育人力资源双创服务培训班,通过理论讲授、互动交流和分组讨论的方式,加强自然教育人才队伍建设,促进我省自然教育和林草科普事业的发展。▲山西省自然教育人力资源双创服务培训班开班仪式现场。11月11日-13日,山西省林···

山西发放10亿元职业技能电子培训券 劳动者凭电子券享受免费职业技能培训

来源:央广网央广网太原4月19日消息(记者贺威通 通讯员康熙如)近日,山西公开发放首批面值10亿元的职业技能电子培训券,广大劳动者可以凭电子券享受免费的职业技能培训。今年,山西采取发放职业培训券的方式开展职业技能培训工作,对技能培训全过程实···

去哪儿了解职业技能培训项目和机构?

···

种植加工技术、科学管理农田、直播带货技能……山西省2022年高素质青年农民培训班即将开班

11月30日,山西晚报记者从团省委获悉,为引导广大青年农民更好地实施乡村振兴战略、加快农业农村现代化贡献青春力量,共青团山西省委、山西省农业农村厅将联合开展2022年度高素质青年农民培训工作,并结合我省实际,制定《山西省2022年高素质青年···

宁夏援外医疗队在贝宁开展中医针灸培训

中新网银川8月31日电 (记者 杨迪)当地时间8月30日,中国(宁夏)第26批援贝宁医疗队在非洲国家贝宁的纳迪丹古妇幼医院举办“中医针灸技术培训班”,为来自受援医院的20余名医务人员讲解、教授中医针灸的相关知识及实操技巧。为贝宁医务人员开展···

祁阳市总工会2023年育婴员职业技能培训班开班

湖南日报·新湖南客户端11月6日讯(通讯员 邓成)11月6日,祁阳市2023年“女职工素质提升培训——育婴员职业技能培训班”在万联职业学校正式开班,授课老师和培训学员共计50余人参加。祁阳市委常委、组织部长、市总工会主席唐旭出席开班仪式并讲···

2023年湖南省高素质农民培育常德市本级无人机飞手专题培训班开班

近日,由常德市农业农村局主办、常德职业技术学院承办、湖南精飞智能科技有限公司协办的“2023年湖南省高素质农民培育常德市本级无人机飞手专题培训班”开班,来自全市各区(县、市)的70名学员参加。开班仪式现场常德市农业农村局二级调研员罗卫华、常···

新化县:技能培训强本领,提升能力促就业

湖南日报·新湖南客户端通讯员 陈慧今年以来,新化县大力开展职业技能培训,提升城乡劳动力市场就业能力,加强与相关岗位的适配性,从根本上为群众解决就业压力,实现高质量就业,进而增进民生福祉。认真贯彻落实省、市职业技能培训文件精神,加强职业技能培···

2023年湖南省高素质农民培育桃源县新农商带头人(直播)培训班正式开班

科教新报·新湖南客户端讯(通讯员 郭云华)为进一步改善农产品营销策略,推进乡村经济发展,助力乡村振兴,根据县委、县政府的部署安排,11月6日,由桃源县农业农村局主办、桃源县职业中专承办的2023年桃源县新农商带头人(直播)培训班正式开班。县···

以训代练 以训提能 以训促战——内乡县综合应急救援队开展无人机和风力灭火机技能培训

为加强救援队伍标准化、规范化建设,提升救援队伍综合素质和救援能力,充分发挥无人机和风力灭火机在应急事件处理中的实战作用,10月12日下午应急救援队进行无人机实操飞行和风力灭火机的技能培训。培训活动中,综合应急救援队副队长李帅同志先后就无人机···

特别关注·“技能河南”建设系列报道③丨培训厚“技” 人才“勃”发

中国平煤神马集团首席技能大师杨庆华在测试自行研发的井下自动化设备模块。受访者供图宇通集团实训中心,“大国工匠”牛东昌给员工们模拟焊接技术。王向前 摄郑州交通技师学院实训教学中心,学生们在老师指导下维修车身。王向前 摄河南日报记者 王向前“不···

平桥区2023年“人人持证、技能河南”建设职业技能培训补贴的公示

根据《2023年河南省补贴性职业技能提升行动目录清单》、《河南省“人人持证、技能河南”建设工作领导小组办公室关于印发< 2023年高质量推进“人人持证、技能河南”建设工作方案>的通知》豫技领办〔2023〕12号、《河南省人力资源···

山东省做好高素质农民教育培训技能和学历“双提升”

来源:人民网-山东频道日前,山东省农业广播电视学校在淄博市召开高素质农民教育培训与学历提升有效衔接试点工作教学计划研讨会议,有关县(市、区)分校(中心)负责同志参加研讨。会议旨在贯彻落实《山东省农业农村厅关于印发的通知》文件精神,切实做好高···

2023年山东省全民数字素养与技能提升月今日启动 活动“剧透”来了

···

黑龙江省省文化和旅游厅扎实开展“送教上门”职业技能培训

(焦阳中国商报黑龙江综合采写)冰雪资源是黑龙江省的特色旅游资源,亚雪旅游线是全国知名的“白金”旅游线,也是冰雪旅游目的地,具有独特发展优势。近年来,黑龙江省在发展冰雪旅游、冰雪经济上取得了长足发展,但也亟需解决丰富旅游产品、提升服务意识、服···

奋“泳”向前!“新蓝”游泳技能培训班开训啦

点击关注 辽宁消防 2023-04-25 发表于辽宁视频加载中...辽宁省消防救援总队第五批新消防员入职培训工作开展至今,新训大队在总队、支队两级党委的坚强领导下,对标新时期消防救援队伍“全灾种、大应急”的职能需要,秉承“初始即专,一专到底···

辽宁将评选10家职业技能培训示范基地和20家技能大师工作站

近日,省人社厅下发通知,开展2023年辽宁省职业技能培训示范基地和技能大师工作站项目建设申报工作,全省拟评选10家省级职业技能培训示范基地和20家省级技能大师工作站,以加快推进我省高技能人才队伍建设。通知提出,省级职业技能培训示范基地的申报···

山西将在五年内每年培训一百万技能人才

技能培训,让就业更稳当“大家好,我是烹饪培训老师贾安平,今天为大家分享一道美食,就是这个金汤酸菜鱼,现在开始我们逐步讲解它的做法……”下午3:30,山西运城盐湖区彩虹职业培训学校老师贾安平准时进入直播间进行授课。这样的线上培训是山西省全民技···

想学技能,职业技能培训项目和机构怎么找?解答来了→

(以上图文若涉及侵权,请原作者及时与我们联系)来源|人力资源和社会保障部编辑|徐 飞校对|白子璐审核|邰荣军···