网站安全测评

最近几天在2020RSAC安全节上听了一个渗透巨头的经验分享，感觉受益匪浅。

一、渗透检测服务项目中的难点问题

1.对于客户网站项目，我们之前在其他几家安全企业做过渗透测试服务项目。那么如果我们接手，我们应该如何执行它们呢？深入细致地分析客户程序，认真细致地发现程序多方面、多方面的系统漏洞。

2.如果客户的方案部署了自然环境waf服务器防火墙服务项目，应该如何进行？也可以绕过web服务器的防火墙，采用渗透测试，比如也可以按照内部局域网的方法进行检测。目前客户的网站安全不一定安全，很容易被规避。

3.客户程序，使用ukey硬件来配置机器设备的登录验证。还需要进行安全渗透测试吗？

Ukey硬件配置机器和设备的安全系数也必须通过安全测试认证。以前这个机器设备推一个认证，然后这个认证可以重复使用很多次。

4.客户端程序，传输层协议是用SSL证书数据加密的，这里传输的数据也是用rsa加密的，所以无法提取数据文件。下一步该怎么办？

尝试一些常用的破译方法，比如伪造https资格证书，重置协议，渗透测试授权程序。永远不要检测未经授权的系统软件。

5.客户端网站程序，看似静态页面，无法进入渗透测试。我该怎么办？

网站继续抓数据文件的分析，然后用动态脚本交互寻找区域搜索问题。

6.客户的系统软件程序。是否要使用扫描仪作为网站渗透测试工具？

尽量不要使用渗透测试工具，减少对客户已经运行的系统软件的破坏，尤其是敏感重要的程序，不要渗透内网。测试比较敏感的程序，最好申请接口测试，使用测试账号或者注册账号。

7.客户端程序好像在安全渗透测试中被入侵了。我该怎么办？

如果发现被黑客攻击的迹象，要立即通知客户，随时随地提前做好应急处理准备，解决安全隐患。

第二，实践经验积累

1.每一次新客户项目的渗透和测试，客户系统优化测试都会是你开发路上的老师。

2.从渗透测试的全过程详细分析不足，然后在后续的新项目行动中填补现有的不足。

3.善于和比自己优秀的人沟通、协商、咨询、学习。

4.要不断拓展自己的专业知识，不断提高自己的加工能力。

5.遇到困难不要畏首畏尾，要有信心能进行好每一项日常任务挑战。

6.安全常识社区论坛，渗入社交圈，安全杂志期刊，专刊，漏洞平台，都可以给你工作经验。

7.在空闲暇时间，经常报名参加一些网络信息安全活动，在活动中积累实践经验，塑造优秀的应对和解决素养。

三。客户关联解析

1.在新项目渗透之前，要求搞清楚客户的需求，有哪些极限或者标准是不能碰的。

2.网站渗透测试新项目时，需要征求客户的选择和规定。如有特殊要求，需向客户说明，并协商解决。