如何成为一个渗透测试员

发表于:2017-12-21 10:04

字体: | 上一篇 | 下一篇 | 我要投稿

 作者:沉潜3070    来源:51Testing软件测试网采编

  短版本:
  一个渗透测试人员探测? 基于web的应用、网络、系统 的安全漏洞
  用另一种话说,就是你被付薪水来做合法hack。在这个很酷的工作,你将会使用一系列的渗透测试工具一些是预先决定的,一些事你自己设计的,来模拟真实生活中的网络攻击。你的最终目标就是帮助组织证明他们的安全性。
  渗透测试者的责任:
  合法的hacking是性感和无聊的部分的混合。不像真实世界的黑客,你可能只有几天的时间来侵入一个系统。
  甚至,你被期望说明和解释你的方法和你的发现。渗透测试被称作信息安全领域最令人沮丧的工作之一。
  总体来说,你可能被要求:
  执行一个常规渗透测试 给基于web的程序 网络以及计算机系统。
  给服务器 系统 网络设置 进行一个物理性安全评估
  设计和创建一个新的渗透测试工具
  探测? web应用,客户端应用和标准协议 的漏洞
  指出攻击者可能 使用的方法来利用弱点和缺陷
  利用社会工程来揭露系统漏洞(脆弱的用户安全操作或密码策略 )
  与之合作的公司的考虑(比如因停机而遭受的损失)
  与管理者、IT队伍研究、说明、议论安全发现
  检查和定义 信息安全措施 的要求。
  致力于提高安全服务,包括持续的提高现有的方法来支持评估
  提供回馈和评估 为一个组织解决安全问题
  ~在一个渗透测试里,你将会集中于利用漏洞(作为目标进入系统)。
  一个渗透测试团队会对开放的系统进行拍照,来表示他们能够进入数据库,而不是像罪犯那样实际的去做。
  渗透测试者的职业路径:
  测试者来自各种领域角度。一些在大学开始hacking,其他的使用他们的计算机学位专注于网络安全
  不管你是什么路线,雇佣者不会想要雇佣你仅仅取决于学校,你可以考虑获取以下IT工作的经验例如
  安全管理员
  网络管理员
  系统管理员
  网络工程师
  当你证明你有渗透测试者的能力的时候,你可以选择更好的待遇,例如:
  初级渗透测试员
  安全专家
  安全架构师
  相似的工作:渗透测试也被称为, 合法的黑客,安全审计员。
  渗透测试者的薪水:根据薪级表,渗透测试者的中位数是71929美元(2014年的数据),总的来说,你可以期望拿回家 44220 - 117389 美元。这包括你你基本的年度薪水,奖金,收益分红,佣金,加班费和其他的现金收入。
  渗透测试工作的要求:
  学位要求:大多数渗透测试者没有持有特定的学位。因为合法的黑客更要求技能而不是课程评分,一个本科或者研究生学位不是必须的,如果你有了合适的工作经验。
  尽可能的磨练你的技巧。去看看hacking文献,研究潜在的证明,学习SANS课程,开始一个渗透测试实验,向其他渗透测试人员学习,阅读更多更多。
  工作经验:
  总体上,雇佣者倾向寻找2-4年安全相关的经验,在渗透测试和漏洞评估方面。高级渗透测试者的范围变化更大,
  可能是低于3年或者7到10年的经验。
  硬技能:
  Windows, UNIX and Linux 操作系统经验
  C, C++, C#, Java, ASM, PHP, PERL
  网络服务器和网络工具(e.g. Nessus, nmap, Burp, etc.)
  计算机硬件和软件系统
  基于web 的应用
  安全框架(e.g. ISO 27001/27002, NIST, HIPPA, SOX, etc.)
  安全工具和产品 (Fortify, AppScan, etc.)
  漏洞分析和逆向工程Vulnerability analysis and reverse engineering
  Metasploit框架
  取证工具
  密码学原理
  软技能:
  书写的你简历,开始列出一些软技能:创造性,解决问题的能力和分析思考。向他们展示你的高的道德素质,展示
  你的“走出困境”的方法。展示你对于细节严谨的态度。
  口头表达能力和交流技巧是另外两个大方面,
  另外除了大量的文书工作(写作报告和评估),你可能会感到惊讶,你要经常与人交谈。
  你的一天将涉及技术和非技术观众解释你的方法。你也可以协调社会工程的举措。
  渗透测试者的证书:懒得翻译了,都是国外的证书,国内的。。?
  CEH: Certified Ethical Hacker
  CPT: Certified Penetration Tester
  CEPT: Certified Expert Penetration Tester
  GPEN: GIAC Certified Penetration Tester
  OSCP: Offensive Security Certified Professional
  CISSP: Certified Information Systems Security Professional
  GCIH: GIAC Certified Incident Handler
  GCFE: GIAC Certified Forensic Examiner
  GCFA: GIAC Certified Forensic Analyst
  CCFE: Certified Computer Forensics Examiner
  CREA: Certified Reverse Engineering Analyst


上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
《2023软件测试行业现状调查报告》独家发布~

关注51Testing

联系我们

快捷面板 站点地图 联系我们 广告服务 关于我们 站长统计 发展历程

法律顾问:上海兰迪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2024
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪ICP备05003035号

沪公网安备 31010102002173号