這周參加360的補天大會聽了一位滲透大佬的分享，感覺獲益匪淺。

一、常見問題

1、客戶系統，之前做過滲透測試，我們要怎么做？

深入了解客戶系統，一絲不茍發現系統深層次漏洞。

2、客戶系統，部署了防火墻，我們要怎么做？

可以繞過防火墻進行測試，比如通過內部wifi的手段等。客戶已有的安全防護，不一定安全，很容易被繞過。

3、客戶系統，采用Ukey登錄，還需要滲透嗎？

Ukey的安全性也需要驗證，之前有ukey發送一個驗證，然后這個驗證可以重復使用的情況。

4、客戶系統，網絡協議是加密的，抓不到數據包，怎么辦？

嘗試一些破解的方式，對授權系統進行滲透時，最好別對其他系統進行測試

5、客戶系統，好像是靜態頁面，搞不進去，怎么辦？

抓數據包，尋找有動態交互的地方。

6、客戶系統，我們要不要上掃描器進行掃描？

盡量不要用掃描器，降低對客戶系統的傷害，特別是敏感關鍵系統，也別內網滲透。敏感系統進行測試，最好申請搭建測試環境，或申請賬號。

7、客戶系統，滲透測試發現好像已經入侵，怎么辦？

發現被入侵跡象，要及時通知客戶，并隨時準備應急響應

二、知識積累

1、每次滲透測試項目，客戶系統都會是你成長的老師

2、從滲透測試過程中了解自身的不足，然后用行動去彌補不足之處

3、要善于和比自己強的人進行溝通，交流、請教和學習

4、要不斷的擴充自己的知識面，不斷地提升自己的應對能力

5、遇事不要退縮，要有信心，堅信自己可以完成每一項任務挑戰

6、知識論壇、圈子、雜志、周刊、漏洞平臺都可以給予你營養

7、適當參加一些網絡安全比賽，積累比賽經驗，培養良好素質

三、關系處理

1、滲透之前要問清楚客戶需求，哪些底線或原則是不能觸碰的

2、滲透測試項目中要尊重客戶的選擇，如有特殊需求要向客戶提

3、滲透測試結束后，要及時跟客戶做一個簡單工作匯報

4、工作中如遇到阻力或者客戶對工作不滿意，千萬別找理由，要及時跟領導匯報

5、碰到自己不擅長的項目，在客戶面前要低調一點，要及時找同事幫助

6、認清自己的角色，客戶提的需求，要向領導進行匯報，請領導指示

7、滲透測試后獲取的敏感系統文檔。數據、要跟客戶表述會進行刪除處理

四、攻防實戰

1、組建公司內部的信息安全實驗室、模擬驗證最新網絡攻防實戰環境

2、對符合自身業務的漏洞進行跟蹤，還原攻擊方式、利用成本和漏洞修復

3、攻防實戰從人與系統的對抗，上升至人與人之間的較量

4、建立完善的攻擊監控系統，對內外防御要做到有情能查，有情必究

5、紅藍雙方的攻防對抗，要逐步行程常態化攻防演練

6、從不明攻擊的角度去量化攻擊的存在，并行程攻擊處置方法

7、漏洞防御已經變的防不勝防，做好安全管控已經迫在眉睫

五、團隊建設

1、向團隊核心人物看齊，如果團隊沒有核心，那團隊就危險了

2、善于與團隊成員配合，取長補短，共同進步

3、梳理團隊成員責任心，做人做事認真、負責

4、合理劃分團隊成員職責、人物，確保工作高效運行

5、善于處理團隊中產生的矛盾、分歧、以最小化影響進行處理

6、積極為團隊成員排憂解難，全身心投入工作

7、建立培訓計劃，定期組織團隊進行內部技能培訓和分享，提升團隊能力

六、職業規劃

1、自己心里要有計劃，但最好在五年之內逐步提升自己的技術實力

2、如果對滲透測試沒有興趣了，要趁早選擇自己的第二職業，別耽誤事

3、合理時間范圍內、可以適當選擇跳槽，融入可以提升你自己的企業

4、要逐步從技術向管理轉變、學習管理方法，提高管理能力

5、要逐步擴大自己的人際圈子，千萬不要束縛自己的交際范圍

6、想要創業的朋友，要了解公司管理和財務管理方面的知識，千萬別盲目創業

7、準備研發產品的朋友，一定要注意你研發的產品，是否能解決用戶的痛點