课程咨询 :186-8884-0703
课程咨询qq:192750396

  • WEB测试人员需要什么素质和技能?

    发布:深圳Web培训      来源:达内新闻      时间:2016-04-08

  • 1. Web渗透测试人员拥有一定的开发背景(知道如何编码)

    公司不可能聘用一位连编写代码都不懂人成为渗透测试人员。公司的Web渗透测试者应首先是开发者,在此基础上才考虑对Web漏洞扫描器的掌握技能,其好处有以下几个方面:

    · 了解所开发WEB应用的漏洞和缺陷;

    · 知道如何保障应用的安全,如何为其打补丁,如何测试;

    · 可以使评估者开发自己的安全工具;

    · 与那些没有任何开发经验的人员相比,如果培训得当,开发者更容易适应测试Web应用的任务。

    · 能用简单的脚本编写验证代码,能验证已发布漏洞的真实性。

    如果Web渗透测试者甚至不知道如何用html编码,或者以前也从没有做过程序员的工作,公司敢请他从事静态代码的测试吗?

    2.了解开放式Web应用程序安全项目(OWASP)

    Web渗透测试工程师应熟悉开放式Web应用程序安全项目的TOP 10,即OWASP的最重要文档,这是因为它向渗透测试人员传达了Web应用程序的最重要的安全意识。

    OWASP的TOP 10涉及一些最严重的Web应用程序漏洞的细节,其中包括SQL注入、失效的认证和会话管理、跨站脚本攻击、不安全的直接对象引用、安全性的错误配置、敏感数据的暴露、功能级访问控制的缺失、使用有漏洞的组件、未经验证的重定向和转发。

    如果渗透测试者能够深入理解和评述OWASP的TOP 10,甚至能够在其自己的实验室或机器上演示这些攻击,他就足以胜任此工作。

    除了上述项目,如果渗透测试者还熟悉由OWASP发起的一些项目,如Mutilidae,或者搭建了一个有安全问题的OWASP Web应用项目,他就是一个有着攻击Web应用程序热情的真正爱好者。

    3.参与过漏洞奖金项目

    什么是漏洞奖金项目?就是由某个公司发起的一个奖励黑客的计划:黑客必须能够在公司提供的应用程序中找到安全漏洞,并且通过一种可靠的揭露方式来报告此漏洞。

    如果申请渗透测试工程师的人曾经是一个漏洞奖金猎人(黑客),他就必然曾经遇到和报告过除SQL注入、跨站脚本攻击、RCE之外的非一般漏洞。这证明该黑客能够在公司的应用中找到一些重要漏洞。

    如果申请者的名字曾经出现在诸如谷歌、微软、Twitter、Facebook等提供漏洞奖金项目的公司网站上,尤其是他曾经因报告过火狐、IE、Chrome的漏洞而获得过奖金,那么,该申请者就是一位杰出的渗透测试工程师。

    4. 在Exploit-DB、Packet Storm或其它漏洞数据库中发布过漏洞利用程序

    WEB测试人员需要什么素质和技能?

    漏洞利用程序的开发者、漏洞研究人员、漏洞猎人等往往都揭露过开源软件和企业产品中的安全漏洞,尤其值得注意的是,如果这些人员曾经获得过CVE(通用漏洞与披露)的ID或OSVD(开源漏洞数据库)的ID,那将是非常出色的申请者。

    这些申请者能够轻松地复制、修复、处理安全扫描器所发现的漏洞。由于这些人员还是精通安全的开发者,因而由他们为特定漏洞开发验证代码是非常容易的。

    这些申请者中的多数人还是熟练的逆向工程师和静态代码审计师,所以除非没有受到激励,否则,他们将是很出色的选择。当然,如果他们曾经给Metasploit Framework贡献过漏洞利用模块和辅助模块,更是锦上添花。

    我们是一群热爱IT的年轻人,如果你也爱IT、爱HTML5开发,欢迎前来达内深圳HTML5培训中心参观学习,让我们共同为梦想发声。

    更多HTML5培训、HTML5就业、HTML5薪资、HTML5教程等内容,请访问达内深圳HTML5培训官方网站!众多资深HTML5大神级讲师为您答疑解惑!

    “我们不生产技术,而是教育的传授者,更是it技术的搬运工。”

上一篇:WEB培训机构哪家好?

下一篇:【喜报】“发现杯”大学生互联网软件设计大奖赛圆满落幕

最新开班日期  |  更多

WEB前端工程师--全日制班

WEB前端工程师--全日制班

开班日期:6月30日

WEB培训前端工程师--周末班

WEB培训前端工程师--周末班

开班日期:6月30日

WEB培训免费训练营一期

WEB培训免费训练营一期

开班日期:6月30日

WEB培训免费训练营二期

WEB培训免费训练营二期

开班日期:6月30日

  • 罗湖校区地址:深圳市福田区八卦四路 22 号华晟达大厦 408
  • 课程培训电话:186-8884-0703
    课程咨询qq:192750396     全国服务监督电话:400-111-8989
  • 服务邮箱 tousu@tedu.cn
  • 2001-2016 达内时代科技集团有限公司 版权所有 京ICP证8000853号-56