你认为具备什么技能和水平才算是合格的渗透测试工程师?
这个问题怎么讲呢?你是说算是一个公司的合格渗透师,还是你我心目中的合格渗透师。如果只想去一个网络安全公司做一个合格的渗透师,我认为你要掌握的技能应当有以下几点:一、文档排版和写作能力。不要疑问,我把这个技能放在了首位。我见识过很多水平很高的渗透黑客,但是文档写作能力极差,客户已有的漏洞问题讲不清楚,还自以为是的拿个webshell或系统权限就证明了自己厉害,说明了一切问题,但是客户是看不懂的,客户要看的是渗透报告的。
再是几乎是所有的黑客,我看都不会排版出一份让人觉得舒适漂亮的报告文档,都在哪用记事本写,写完需要公司的另一个人去排版。我以前在北京网络安全公司工作的时候,去和另一家公司竞标,明明对方比我们公司技术实力雄厚,但是凭借着我做秘书多年的文字功底,还是获得了这份竞标的。二、具备熟悉各大扫描器的功能和对漏洞名词以及危害的了解在一个公司做一个渗透师,其实水平不要多高,但是最基本的你要学会使用各大扫描器。
像awvs 、Netsparker等的使用,这些扫描器扫客户的网站,基本多多少少都能扫到一些漏洞的,这些扫描器扫到的漏洞会有一些专业的名词也会自动出一份漂亮的报告。但是如何向客户解释这些漏洞的危害,像明明是一个简单几乎是无法利用的的url里的xss漏洞,如何阐明它的危害,让客户重视起来,你起码手头就要准备一个xss漏洞危害的案例了。
三、剩下的其它如果你按我第一、第二点去学习了,去网络安全公司混个职位,我保证你能混一年,但是一年之后你如何?所以剩下的才是我说的是你我心目中的合格渗透师了。无论你是如何学习的,但我想有个基本要求,你总要学会如何才能渗透一个网站的。像web渗透知识、内网渗透知识、编程能力都需要有的。web渗透知识你要达到公司给你20个目标站(包括手机app),能拿到一个网站的权限(或是证明某个漏洞的危害)就算是不错的了。
文章TAG:工程师 网络安全 演示 渗透
