| 隨著國內(nèi)外重大信息安全事故數(shù)量的急劇增長(zhǎng),安全在整個(gè)IT行業(yè)中的不斷升溫,國內(nèi)外滲透測(cè)試從業(yè)者也不斷的增多,但是安全體系龐大復(fù)雜,并非朝夕就能掌握相關(guān)的專業(yè)知識(shí)和技能。最近在國外的一篇博客上看見一位安全專家根據(jù)他多年的安全從業(yè)經(jīng)驗(yàn),對(duì)滲透測(cè)試者所需要的必備做出了一些總結(jié),因?yàn)檎Z言的不同,可能翻譯理解會(huì)有所紕漏,希望大家指出修正,謝謝! 1、精通一個(gè)操作系統(tǒng)。我不想強(qiáng)調(diào)這個(gè)有多么重要。太多的人們都想成為一個(gè)黑客或者系統(tǒng)安全專家,但是事實(shí)上卻沒有對(duì)支持他們進(jìn)行黑客攻擊和安全防護(hù)的系統(tǒng)有較為深入的了解。但是如果你戴著一頂系統(tǒng)管理員的帽子的話,這是必定最基本的常識(shí)。作為一個(gè)黑客來說,就算你拿到了root權(quán)限,但是卻不知道它有什么用就意味著什么事情都沒有干。如果你不知道你在系統(tǒng)中留下了那些蛛絲馬跡,怎么能有辦法將它們擦除掉呢?如果你對(duì)系統(tǒng)沒有足夠的了解,你怎么知道所有的事情是怎么被記入日志的? 2、良好的網(wǎng)絡(luò)知識(shí)和協(xié)議知識(shí)。能夠例舉出OSI模型并能證明對(duì)網(wǎng)絡(luò)和協(xié)議比較了解。你需要深入的理解TCP協(xié)議,并不只是知道它代表傳輸控制協(xié)議,你需要知道TCP包的結(jié)構(gòu)和里面所裝載的內(nèi)容以及其工作的詳細(xì)過程。另外,TCP和UDP的區(qū)別;了解路由,能夠詳細(xì)的描述一個(gè)包是怎樣從一個(gè)地方發(fā)往另一個(gè)地方的;深入理解DNS,ARP是怎么工作的;了解DHCP,了解你終端是怎么動(dòng)態(tài)獲得IP地址的,想想當(dāng)你插入網(wǎng)線的時(shí)候發(fā)生了什么?在你插入網(wǎng)線嘗試獲得一個(gè)動(dòng)態(tài)分配的IP地址的時(shí)候,NIC 建立了什么類型的通路?是第二層?還是第三層? 3、如果你不理解上面第二點(diǎn)所說的話,你就不太可能理解ARP欺騙(ARP Spoof)和中間人攻擊(MITM)是怎么實(shí)施的。簡(jiǎn)而言之,如果你不知道一個(gè)進(jìn)程是怎么工作的你怎么知道攻擊和操作這個(gè)進(jìn)程,甚至更糟糕的是,你根本不知道有怎么一個(gè)進(jìn)程存在著。這讓我們不得不記住一點(diǎn),通常你應(yīng)該對(duì)事物是怎么工作的有足夠的求知欲,每當(dāng)我們看見一些很不錯(cuò)的東西的時(shí)候我都該在腦子中快速的轉(zhuǎn)動(dòng),他是怎么工作的呢? 4、學(xué)習(xí)幾種基本的腳本語言。從一些簡(jiǎn)單的開始,比如說:vbs或Bash。 5、了解一個(gè)基本的防火墻。學(xué)習(xí)怎么配置它來達(dá)到訪問控制的目的,之后試著打敗它。你可以找一個(gè)廉價(jià)的或者用過的路由器和防火墻做實(shí)驗(yàn),去買一個(gè)或者向你的公司要一個(gè)舊的。從簡(jiǎn)單的配置訪問控制表開始,學(xué)習(xí)怎么樣通過簡(jiǎn)單的IP欺騙和其他基本的技術(shù)來掃描他們。你除了應(yīng)用他們才能更深入的理解這些概念。一旦掌握了這些,你就可以轉(zhuǎn)向PIX或ASA。 6、對(duì)取證有一定的了解。這會(huì)更好的掩蓋你蹤跡, 這對(duì)你的影響是顯然的。 7、好好的學(xué)習(xí)一門編程語言。找出你想讓它自動(dòng)化完成的東西或者一些簡(jiǎn)單的你想創(chuàng)造的東西。比如端口掃描,你可以找一些類似的工具,看看它們的源代碼,試著做出自己的端口掃描工具。 8、有一個(gè)明確的目標(biāo)驅(qū)動(dòng)自己去學(xué)習(xí)新的東西。這比其他所有的都重要,因?yàn)槟阋炎约旱臅r(shí)間投入在上面并且隨時(shí)都保持熱情。 9、學(xué)習(xí)少量的數(shù)據(jù)庫。學(xué)習(xí)數(shù)據(jù)庫并了解它們是怎么工作的,下載各種數(shù)據(jù)庫看看,查找資料并試著設(shè)計(jì)一個(gè)簡(jiǎn)單的數(shù)據(jù)庫,不用成為數(shù)據(jù)庫專家,了解基本知識(shí)將有很大的幫助。 10、保持與人分享交流的熱情。最好是建立自己的博客記錄下自己的學(xué)習(xí)過程。 |
免責(zé)聲明:本站部分文章和圖片均來自用戶投稿和網(wǎng)絡(luò)收集,旨在傳播知識(shí),文章和圖片版權(quán)歸原作者及原出處所有,僅供學(xué)習(xí)與參考,請(qǐng)勿用于商業(yè)用途,如果損害了您的權(quán)利,請(qǐng)聯(lián)系我們及時(shí)修正或刪除。謝謝!
始終以前瞻性的眼光聚焦站長(zhǎng)、創(chuàng)業(yè)、互聯(lián)網(wǎng)等領(lǐng)域,為您提供最新最全的互聯(lián)網(wǎng)資訊,幫助站長(zhǎng)轉(zhuǎn)型升級(jí),為互聯(lián)網(wǎng)創(chuàng)業(yè)者提供更加優(yōu)質(zhì)的創(chuàng)業(yè)信息和品牌營銷服務(wù),與站長(zhǎng)一起進(jìn)步!讓互聯(lián)網(wǎng)創(chuàng)業(yè)者不再孤獨(dú)!
掃一掃,關(guān)注站長(zhǎng)網(wǎng)微信
大家都在看
