滲透測(cè)試人員是所謂的“道德黑客”。網(wǎng)絡(luò)系統(tǒng)所有者和基于 Web 的應(yīng)用程序提供商雇用滲透測(cè)試員质蕉,也稱為保證驗(yàn)證員蔓同,以探測(cè)具有惡意意圖的黑客可能能夠利用以收集安全數(shù)據(jù)和情報(bào)的漏洞。
道德黑客通過(guò)運(yùn)用他們的技能和知識(shí)來(lái)執(zhí)行漏洞評(píng)估(以及其他任務(wù))——并且實(shí)際上獲得報(bào)酬以執(zhí)行相當(dāng)于數(shù)字入侵的行為乾戏。
他們使用廣泛的工具和方法模擬實(shí)際的網(wǎng)絡(luò)攻擊迂苛,其中一些是他們自己創(chuàng)造的,不遺余力地挖掘網(wǎng)絡(luò)鼓择、系統(tǒng)和基于 Web 的應(yīng)用程序的安全協(xié)議中的漏洞三幻。
滲透測(cè)試或簡(jiǎn)稱滲透測(cè)試的想法是探索滲透任何給定計(jì)算機(jī)系統(tǒng)的所有可能方法,在真正的黑客進(jìn)入之前發(fā)現(xiàn)安全系統(tǒng)中的漏洞呐能。機(jī)密和時(shí)間敏感的項(xiàng)目念搬,因此在壓力下保持可靠和冷靜是重要的技能。
具有即時(shí)思考的創(chuàng)造力摆出,并有足夠的組織來(lái)跟蹤朗徊、記錄和報(bào)告項(xiàng)目也是滲透測(cè)試的良好品質(zhì)。
免費(fèi)領(lǐng)取學(xué)習(xí)資料
2021年全套網(wǎng)絡(luò)安全資料包及最新面試題
(滲透工具偎漫,環(huán)境搭建荣倾、HTML,PHP骑丸,MySQL基礎(chǔ)學(xué)習(xí)舌仍,信息收集妒貌,SQL注入,XSS,CSRF铸豁,暴力破解等等)
成為滲透測(cè)試員的六個(gè)步驟
自我分析:滲透測(cè)試并不適合所有人灌曙。它需要非凡的解決問(wèn)題的能力、頑強(qiáng)的決心节芥、對(duì)細(xì)節(jié)的奉獻(xiàn)在刺,以及不斷了解該領(lǐng)域最新趨勢(shì)的愿望。成功的道德黑客必須具備這些品質(zhì)中的每一個(gè)的高水平才能出類拔萃头镊。因此蚣驼,在決定滲透測(cè)試是否是一個(gè)合適的職業(yè)之前,請(qǐng)誠(chéng)實(shí)地進(jìn)行自我評(píng)估相艇。
教育:曾幾何時(shí)颖杏,眾所周知,許多雇主雇用現(xiàn)實(shí)世界的黑客坛芽,并將他們從“黑暗面”轉(zhuǎn)變?yōu)闉楹萌斯ぷ髁舸ⅰH欢陙?lái)咙轩,大學(xué)學(xué)位幾乎成為滲透測(cè)試人員的必修課获讳。網(wǎng)絡(luò)安全各個(gè)學(xué)科的本科學(xué)位都提供了進(jìn)入該領(lǐng)域的可行途徑。
職業(yè)道路:潛在的滲透測(cè)試人員可以通過(guò)多種方式進(jìn)入網(wǎng)絡(luò)安全行業(yè)活喊。從安全管理丐膝、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)工程師钾菊、系統(tǒng)管理員或基于 Web 的應(yīng)用程序編程開(kāi)始帅矗,始終關(guān)注每個(gè)學(xué)科的安全方面,將為滲透測(cè)試提供良好的基礎(chǔ)结缚。
專業(yè)認(rèn)證:雇主主要希望在保證驗(yàn)證員的簡(jiǎn)歷上看到一些專業(yè)認(rèn)證,對(duì)于更高級(jí)的職位尤其如此软棺。一些組織現(xiàn)在為滲透測(cè)試職業(yè)提供廣泛認(rèn)可的認(rèn)證红竭。
磨練技藝:成為所選領(lǐng)域的專家在任何職業(yè)中都是一個(gè)好主意,但對(duì)于滲透測(cè)試人員來(lái)說(shuō)喘落,有多種方法可以從人群中脫穎而出茵宪。在漏洞賞金計(jì)劃、收集開(kāi)源情報(bào) (OSINT) 和開(kāi)發(fā)專有攻擊程序等網(wǎng)絡(luò)安全學(xué)科中活躍并得到認(rèn)可瘦棋,都會(huì)讓滲透測(cè)試人員在同齡人中得到認(rèn)可稀火。
保持當(dāng)前:與大多數(shù)網(wǎng)絡(luò)安全的職業(yè)路徑,至關(guān)重要的是要保持與什么是在業(yè)內(nèi)發(fā)生的電流赌朋。使技能和知識(shí)與編程和網(wǎng)絡(luò)安全的所有最新趨勢(shì)凰狞、不斷變化的黑客技術(shù)和安全協(xié)議篇裁、普遍利用的漏洞以及網(wǎng)絡(luò)安全行業(yè)發(fā)生的任何其他事情保持同步。
什么是滲透測(cè)試員赡若?
滲透測(cè)試人員/道德黑客是信息安全領(lǐng)域的私家偵探达布。與許多 PI 操作一樣,任務(wù)是在任何潛在的入侵操作員有機(jī)會(huì)實(shí)施他們的計(jì)劃之前發(fā)現(xiàn)威脅逾冬。
一般來(lái)說(shuō)黍聂,人性的基本真理之一,特別是數(shù)字信息系統(tǒng)身腻,是聲名狼藉的行為者總是試圖抓住機(jī)會(huì)利用漏洞产还。滲透測(cè)試人員尋求調(diào)查、發(fā)現(xiàn)和幫助修復(fù)有線和無(wú)線網(wǎng)絡(luò)系統(tǒng)以及基于 Web 的應(yīng)用程序中的任何潛在漏洞嘀趟。
道德黑客的先發(fā)制人的工作與現(xiàn)實(shí)生活中黑客的努力之間的推拉是一場(chǎng)持續(xù)的軍備競(jìng)賽脐区。每一方都堅(jiān)持不懈地嘗試將他們的知識(shí)、技能和技術(shù)提升到超出對(duì)方能力的范圍去件。
滲透測(cè)試人員使用進(jìn)攻防御策略坡椒。目標(biāo)是通過(guò)像現(xiàn)實(shí)生活中的黑客一樣攻擊性地攻擊計(jì)算機(jī)系統(tǒng)來(lái)提供最佳的信息安全性,從而擊敗黑客并幫助關(guān)閉漏洞尤溜。結(jié)果將是保護(hù)受到攻擊的信息和系統(tǒng)后众。
滲透測(cè)試員的技能和經(jīng)驗(yàn)
與所有網(wǎng)絡(luò)安全學(xué)科一樣,滲透測(cè)試領(lǐng)域新員工的雇主要求將根據(jù)每個(gè)職位的詳細(xì)職能和職位級(jí)別而有很大差異攻冷。助理或初級(jí)滲透測(cè)試員切揭、中級(jí)滲透測(cè)試員和高級(jí)或首席滲透測(cè)試員顯然代表了滲透測(cè)試傘中按順序推進(jìn)的經(jīng)驗(yàn)水平和職責(zé)。
有些職位仍然只需要展示相關(guān)技能和適當(dāng)水平的網(wǎng)絡(luò)安全經(jīng)驗(yàn)和知識(shí)授霸。不過(guò)巡验,越來(lái)越多的雇主正在尋找擁有信息安全學(xué)士學(xué)位或相關(guān)計(jì)算機(jī)科學(xué)學(xué)位的候選人。一些更高級(jí)的職位需要碩士學(xué)位碘耳。
經(jīng)常導(dǎo)致滲透測(cè)試職業(yè)的工作經(jīng)驗(yàn)包括軟件開(kāi)發(fā)和編碼显设、安全測(cè)試、漏洞評(píng)估辛辨、網(wǎng)絡(luò)工程師或管理員捕捂、安全管理員。
雇主可能會(huì)遇到的技能要求包括:
特定計(jì)算機(jī)語(yǔ)言的知識(shí)斗搞,例如:
Python
Powershell
Golang
Bash
具有網(wǎng)絡(luò)操作系統(tǒng)指攒、Windows/Linux/MacOS、通信協(xié)議僻焚、防火墻允悦、IPS/IDS 系統(tǒng)、虛擬環(huán)境虑啤、數(shù)據(jù)加密和 IOS/Android 系統(tǒng)的移動(dòng)滲透測(cè)試經(jīng)驗(yàn)隙弛。
常用滲透測(cè)試和應(yīng)用安全工具的知識(shí)架馋,例如:
Kali
Metasploit
Burpsuite
Wireshark
Web Inspect
Network Mapper (NMAP)
Nessus, and others
雇主經(jīng)常尋求的常見(jiàn)專業(yè)認(rèn)證包括:IEEE(電氣和電子工程師協(xié)會(huì))OSCP(進(jìn)攻性安全認(rèn)證專業(yè)人員)、SANS 技術(shù)研究所驶鹉、GIAC(全球信息保障認(rèn)證)和EC-Council绩蜻。
雇主尋求的軟技能和經(jīng)驗(yàn)包括:出色的溝通技巧;自我驅(qū)動(dòng)室埋、創(chuàng)造性和足智多謀办绝;對(duì)開(kāi)源項(xiàng)目和漏洞賞金計(jì)劃的貢獻(xiàn);并熟悉OWASP Top 10漏洞姚淆。
滲透測(cè)試員做什么的孕蝉?
一般來(lái)說(shuō),滲透測(cè)試人員通常對(duì)網(wǎng)絡(luò)腌逢、系統(tǒng)和基于 Web 的應(yīng)用程序執(zhí)行威脅建模降淮、安全評(píng)估和道德黑客攻擊。更具體地說(shuō)搏讶,保證驗(yàn)證涉及以下部分或全部任務(wù):
收集和分析開(kāi)源情報(bào) (OSINT) 以查找信息披露佳鳖。
提供專注于攻擊性安全測(cè)試操作的主題專業(yè)知識(shí),致力于測(cè)試組織中的防御機(jī)制媒惕。
使用自動(dòng)化工具和手動(dòng)技術(shù)對(duì)各種技術(shù)和實(shí)現(xiàn)進(jìn)行評(píng)估系吩。
開(kāi)發(fā)腳本、工具和方法來(lái)增強(qiáng)測(cè)試過(guò)程妒蔚。
協(xié)助確定預(yù)期項(xiàng)目的范圍穿挨,領(lǐng)導(dǎo)從初始階段到實(shí)施和補(bǔ)救的項(xiàng)目。
進(jìn)行社會(huì)工程學(xué)練習(xí)和物理滲透測(cè)試肴盏。
測(cè)試有線和無(wú)線網(wǎng)絡(luò)的安全漏洞科盛。
檢查評(píng)估結(jié)果以識(shí)別發(fā)現(xiàn)并在系統(tǒng)運(yùn)行的環(huán)境中開(kāi)發(fā)系統(tǒng)的整體分析視圖。
4確定技術(shù)和非技術(shù)發(fā)現(xiàn)的根本原因菜皂。
發(fā)布一份評(píng)估報(bào)告贞绵,記錄調(diào)查結(jié)果并確定潛在的對(duì)策。
跟蹤在多個(gè)評(píng)估中重復(fù)的發(fā)現(xiàn)并傳達(dá)這些發(fā)現(xiàn)恍飘。
完成評(píng)估后榨崩,交流所采用的方法、發(fā)現(xiàn)和分析常侣。
為 ISO 提供技術(shù)支持以修復(fù)評(píng)估結(jié)果蜡饵。
提供網(wǎng)絡(luò)開(kāi)發(fā)和規(guī)避技術(shù)方面的技術(shù)支持弹渔,以協(xié)助對(duì)受感染系統(tǒng)進(jìn)行全面的事件處理和取證分析胳施。
滲透測(cè)試員職位描述
滲透/道德黑客工作范圍因雇主和資歷水平而有很大差異。查看高級(jí)職位的既定職責(zé)肢专,可以深入了解所有道德黑客的最終夢(mèng)想工作舞肆。這份真實(shí)的工作描述為您提供了一個(gè)想法焦辅。
領(lǐng)導(dǎo)以企業(yè)和系統(tǒng)為中心的網(wǎng)絡(luò)和應(yīng)用程序滲透評(píng)估,以識(shí)別安全風(fēng)險(xiǎn)和漏洞椿胯。
對(duì)廣泛的系統(tǒng)執(zhí)行測(cè)試筷登,包括 Web 應(yīng)用程序、安全控制哩盲、網(wǎng)絡(luò)基礎(chǔ)設(shè)施前方、無(wú)線和移動(dòng)部署。
除了使用自動(dòng)化工具驗(yàn)證之外廉油,還可以進(jìn)行動(dòng)手技術(shù)測(cè)試惠险。計(jì)劃、執(zhí)行抒线、報(bào)告和領(lǐng)導(dǎo)有關(guān)測(cè)試活動(dòng)和結(jié)果的技術(shù)匯報(bào)班巩。
執(zhí)行隱蔽的紅隊(duì)網(wǎng)絡(luò)行動(dòng)以模仿對(duì)手的戰(zhàn)術(shù),并與紫隊(duì)密切合作以測(cè)試構(gòu)建檢測(cè)所需的漏洞利用嘶炭。
向利益相關(guān)者有效地傳達(dá)調(diào)查結(jié)果和補(bǔ)救策略抱慌,包括技術(shù)人員和行政領(lǐng)導(dǎo)。
有OSCP眨猎、GPEN或GXPN認(rèn)證者優(yōu)先抑进。
在處理國(guó)家機(jī)密的組織(例如軍事供應(yīng)商和國(guó)家安全組織)中,信息安全需求變得更加重要宵呛。這份真實(shí)的工作描述是由美國(guó)一家主要軍事設(shè)備制造商發(fā)布的单匣,用于提供高級(jí)筆試職位。
對(duì)網(wǎng)絡(luò)和其他應(yīng)用程序宝穗、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和操作系統(tǒng)基礎(chǔ)設(shè)施進(jìn)行滲透測(cè)試和漏洞分析户秤。
向利益相關(guān)者簡(jiǎn)要介紹執(zhí)行摘要和調(diào)查結(jié)果,包括高級(jí)領(lǐng)導(dǎo)
了解如何創(chuàng)建獨(dú)特的漏洞利用代碼逮矛、繞過(guò) AV 和模擬對(duì)抗性威脅鸡号。
通過(guò)識(shí)別所有漏洞和安全措施來(lái)評(píng)估客戶系統(tǒng)安全的當(dāng)前狀態(tài)。
幫助客戶分析和緩解安全漏洞须鼎。
研究并熟練掌握計(jì)算機(jī)網(wǎng)絡(luò)漏洞鲸伴、數(shù)據(jù)隱藏以及網(wǎng)絡(luò)安全和加密方面的工具、技術(shù)晋控、對(duì)策和趨勢(shì)汞窗。
通過(guò)能力增強(qiáng)和報(bào)告為事件響應(yīng)團(tuán)隊(duì)提供支持。
通過(guò)創(chuàng)建和教授道德黑客和漏洞分析的最新技術(shù)來(lái)指導(dǎo)初級(jí)和中級(jí)員工赡译。
滲透測(cè)試人員的展望
在可預(yù)見(jiàn)的未來(lái)仲吏,信息安全專業(yè)人員的需求將很高且快速增長(zhǎng)。事實(shí)上,所有學(xué)科的信息安全專業(yè)人員都嚴(yán)重短缺裹唆,而且在可預(yù)見(jiàn)的未來(lái)誓斥,這種短缺預(yù)計(jì)會(huì)持續(xù)下去。隨著網(wǎng)絡(luò)许帐、應(yīng)用程序和信息需求對(duì)業(yè)務(wù)和國(guó)家運(yùn)營(yíng)變得越來(lái)越復(fù)雜和關(guān)鍵劳坑,這些系統(tǒng)變得更加直接目標(biāo)和更容易受到攻擊。滲透測(cè)試人員處于技術(shù)專業(yè)知識(shí)的最前沿成畦,最接近潛在攻擊者的角色距芬。頂級(jí)滲透測(cè)試人員現(xiàn)在在信息安全運(yùn)營(yíng)商中受到高度重視,并且沒(méi)有跡象表明這種看法會(huì)以任何方式減弱循帐。
滲透測(cè)試員的工資是多少蔑穴?
2019 年,Payscale.com報(bào)告稱惧浴,滲透測(cè)試人員的年薪約為 55,000 美元至 133,000 美元存和,平均年薪為 82,500 美元。獎(jiǎng)金衷旅、傭金和利潤(rùn)分享平均每年增加約 17,000 美元捐腿。
