把大象装进冰箱需要四步。
第一步,阅读安全测试的书籍。
推荐阅读下:
《Web安全测试》(Paco Hope,Ben Waltller)【摘要 书评 试读】
《模糊测试—强制性安全漏洞发掘 (美)斯顿(Sutton,M);黄陇,于莉莉,李虎 机械工业》【摘要 书评 试读】
《Python 黑帽子:黑客与渗透测试编程之道》([美]Justin Seitz(贾斯汀·塞茨))【摘要 书评 试读】
第二步,使用安全相关的工具。
Github和相关论坛上找。构建自己的工具包,黑白盒审计工具。
但是先不要做白盒,白盒你可以自己慢慢测试。白盒的误报太多了。
第三步,做精做细每个审计项目,从黑盒,到手工白盒。
第四步,如果你还有时间,去找开源项目测试,自己挖漏洞,收集方法。
以上是修身的,修自己的。
安全测试的最终成绩是
1. 你能挖掘的开源漏洞的漏洞数量
2. 你做的自动化审计的工具
3. 你能把企业的流程拆解设计成什么样子。