职位描述:
- 负责安全服务项目中的实施部分,包括:漏洞扫描、渗透测试、安全基线检查、代码审计、应急响应等;
- 爆发高危漏洞后时行漏洞的分析应急;
- 对公司安全产品的后端支持;
- 掌握专业文档编写技巧;
- 关注行业态势和热点。
- write by:sec_qiaoy
职位要求:
- 有较强学习能力,能快速学习新的技术;
- 熟悉风险评估、应急响应、渗透测试、安全加固等安全服务;
- 熟悉常见黑客攻防方法;
- 掌握一门编程语言;
- 具有良好的语言表达能力、文档组织能力。
- write by:sec_qiaoy
学习路线:
-
安全概念和资讯
前期安全知识的补充学习。
- 熟悉基本的安全术语和概念(SQL注入、上传漏洞、XSS、CSRF、一句话木马、渗透测试、应急响应、风险评估、等级保护等);
- 阅读OWASP TOP 10 从漏洞分类和漏洞成因寻找安全漏洞的切入点 Link ;
- 阅读经典的网络安全相关书籍 Link ;
- 安全资讯来源:Secwiki、Reddit、Twitter、Weibo、Wooyun、Freebuf、91ri等。
- write by:sec_qiaoy
-
安全工具使用
熟悉常用的安全测试工具和自家的产品。
- 综合漏洞扫描工具的安装使用:Nessus、X-scan、Nexpose等;
- Web漏洞扫描的工具的安装使用和漏洞验证:AppScan、AWVS、WebInspect等;
- 辅助工具的安装和使用:Nmap、Burp Suite、Sqlmap、wireshark、iptables等;
- 辅助脚本的收集和修改:各种漏洞利用的Exploit、定制化高的扫描脚本、字典等;
- 自家安全设备策略部署和使用。
- write by:sec_qiaoy
-
渗透测试
熟悉渗透测试报告的格式和内容。
- 渗透测试流程:《渗透测试授权书》规定渗透时间和范围、《渗透测试免责书》描述渗透测试可能带来的危害、规定时间实施渗透测试,输出《渗透测试报告》,指导甲方进行漏洞修复;
- 大多数情况下,渗透测试质量中技术能力占40%,报告书写占60%,必须熟练掌握各种word、exel基本功能;
- 具体的技术细节、工具使用可参考老美的PTES渗透测试指南 Link。
- write by:sec_qiaoy
-
安全基线检查
学习安全业务与系统操作。
- 不同的客户,不同的业务系统,有不同的安全基线文档,大致分类无外乎几种:从账户、授权、补丁、日志、冗余端口和服务等层面对主机系统、中间件和数据库进行配置[检查];
- 阅读外网流出的各家厂商的安全基线检查内容,如:运营商-移动 Link ;
- 掌握不同版本的配置方法和配置项,可自行安装系统、中间件、数据库进行实操。
- write by:sec_qiaoy
-
应急响应
学习渗透实战,并了解应急响应流程。
- 应急响应流程可分为两类:实时性应急响应和入侵后应急响应;
- 实时性应急响应:大多为DDOS攻击,首要进行流量分析,若流量打满,能做的就是反查攻击IP,逆向渗透;若网络设备会话数被打满或者主机系统的CPU、内存、会话数被打满,可通过交换机做端口镜像,使用wireshark、tcpdump进行抓包,分析流量特征,确认攻击类型,在网络设备或安全设备上做相应阻断策略;
- 攻击后应急响应:通过分析恶意文件和日志,查找入侵来源IP和入侵者所利用的漏洞,提出漏洞修补方案,并逆向追踪入侵者;
- 应急响应对工程师的要求较为复杂,需多熟悉不同操作系统、应用、中间件、数据库特性,且能熟练使用编程语言或者vim等编辑器对较大的日志进行数据整理,还需要日常多多积累各种攻击特征和防护策略;
- 多阅读网上已有的应急响应的文档,学习逆向分析思路。
- write by:sec_qiaoy
-
代码审计
学习代码审计流程和实战。
- 熟悉代码审计工具的安装使用,可参考SecWiki上的文章 Link ;
- 根据工具报告验证问题是否为误报,并跟踪分析;
- 参看各大资讯平台、论坛、旧杂志的文章,学习白盒分析思路;
- Exploit编写。
- write by:sec_qiaoy
-
安全边界建设
学习安全边界检查工作的流程和内容。
- 安全边界检查的工作重点可总结为:根据是各个信息区域否需要外网接入、是否需要访问内部核心网络等行为特点,将信息安全系统划分为边界接入域、网络基础设施域、计算机安全域、运维管理域,并对现有网络是否有按照该标准做相应的安全域划分,或判断其划分是否合理;
- 可参考规范:IATF Link。
- write by:sec_qiaoy
-
安全规范
学习国标和行业规范。
- 除去技术细节了,尚有不少风险评估和等级保护测评的工作,直接读规范有助对项目全局的把控;
write by:sec_qiaoy
