神刀安全网

做一名安静的Web渗透测试人员 要必备的8种素质和技能

无疑,Web安全测试工程师或Web渗透测试工程师的任务就是审计公司的Web应用程序、Web服务、Web服务器的安全性。那么,公司如何才能请到优秀的Web应用安全专家而不是纸上谈兵的“赵括”? 下面的这八项素质或技能可以为公司选聘Web渗透测试人员提供参考:

1. Web渗透测试人员拥有一定的开发背景(知道如何编码)

公司不可能聘用一位连编写代码都不懂人成为渗透测试人员。公司的Web渗透测试者应首先是开发者,在此基础上才考虑对Web漏洞扫描器的掌握技能,其好处有五个方面:

· 了解所开发WEB应用的漏洞和缺陷;

· 知道如何保障应用的安全,如何为其打补丁,如何测试;

· 可以使评估者开发自己的安全工具;

· 与那些没有任何开发经验的人员相比,如果培训得当,开发者更容易适应测试Web应用的任务。

· 能用简单的脚本编写验证代码,能验证已发布漏洞的真实性。

如果Web渗透测试者甚至不知道如何用html编码,或者以前也从没有做过程序员的工作,公司敢请他从事静态代码的测试吗?

2.了解开放式Web应用程序安全项目(OWASP)

Web渗透测试工程师应熟悉开放式Web应用程序安全项目的TOP 10,即OWASP的最重要文档,这是因为它向渗透测试人员传达了Web应用程序的最重要的安全意识。

OWASP的TOP 10涉及一些最严重的Web应用程序漏洞的细节,其中包括SQL注入、失效的认证和会话管理、跨站脚本攻击、不安全的直接对象引用、安全性的错误配置、敏感数据的暴露、功能级访问控制的缺失、使用有漏洞的组件、未经验证的重定向和转发。

如果渗透测试者能够深入理解和评述OWASP的TOP 10,甚至能够在其自己的实验室或机器上演示这些攻击,他就足以胜任此工作。

除了上述项目,如果渗透测试者还熟悉由OWASP发起的一些项目,如Mutilidae,或者搭建了一个有安全问题的OWASP Web应用项目,他就是一个有着攻击Web应用程序热情的真正爱好者。

3.参与过漏洞奖金项目

什么是漏洞奖金项目?就是由某个公司发起的一个奖励黑客的计划:黑客必须能够在公司提供的应用程序中找到安全漏洞,并且通过一种可靠的揭露方式来报告此漏洞。

如果申请渗透测试工程师的人曾经是一个漏洞奖金猎人(黑客),他就必然曾经遇到和报告过除SQL注入、跨站脚本攻击、RCE之外的非一般漏洞。这证明该黑客能够在公司的应用中找到一些重要漏洞。

如果申请者的名字曾经出现在诸如谷歌、微软、Twitter、Facebook等提供漏洞奖金项目的公司网站上,尤其是他曾经因报告过火狐、IE、Chrome的漏洞而获得过奖金,那么,该申请者就是一位杰出的渗透测试工程师。

4. 在Exploit-DB、Packet Storm或其它漏洞数据库中发布过漏洞利用程序

漏洞利用程序的开发者、漏洞研究人员、漏洞猎人等往往都揭露过开源软件和企业产品中的安全漏洞,尤其值得注意的是,如果这些人员曾经获得过CVE(通用漏洞与披露)的ID或OSVD(开源漏洞数据库)的ID

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 做一名安静的Web渗透测试人员 要必备的8种素质和技能

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮