成为一个安全测试人员是艰难的。它需要深度培训和专业的系统架构,计算机工程、网络理论,和人类心理学。学习这些技能需要相当多的时间,所以测试人员要真正成为一个安全大师要努力数年时间。如果你正在学习成为一个安全测试人员,这里有十个迹象表明你没有准备好:
10、你的密码出现在这个列表[注1]。
9、你的概念的社会工程[注2]是抛出一个很棒的聚会,然后找出每个人如何能有最好的可能的时间。
8、你认为56位DES[注3]应该适合任何人。
7、你不能记住如果你的医生给你一个SQL注入[注4]和你的最后一组接种疫苗。
6、你认为Van Eck phreaking[注5]是Armin Van Buuren[注5]的最新专辑。
5、当你听到有人提到一个缓存溢出[注6],你开始寻找一个拖把。
4、你认为钓鱼式攻击[注7]也意味着被人用石头砸,去Vermont乐队演唱会。
3、当你听到OWASP(网络开源应用安全项目),你认为是一罐杀虫剂。
2、你认为跨站点脚本[注8]是一个花哨的形式的书法。
1、你担心如果私钥不公开一点,它永远不会被接受,它的朋友和公共密钥将永远是受欢迎的一个。
注1:“最糟糕的密码”列表
制作密码管理应用程序的“数据飞溅”公司发布了其年度“最糟糕的密码”列表,这些密码被黑客从常见的密码。排名前三的是——“password”、“123456”和“654321”——自去年以来一直没有改变。新加入的包括“Master”、“Shadow”、“football”。其他的密码有上榜和出榜的波动。
“这意味着人们甚至不改变默认的密码”,首席执行官Morgan Slain告诉TIME科技。“并不需要那么多时间去做一个新密码”。你应该为您的所有账户设置不同的密码。为了使它更容易记住他们, Slain建议考虑密码为“密码短语”。例如,使用一个短语就像“狗吃骨头(dog eats bone)”和添加下划线,破折号、连字符,和其他标点符号来满足特殊字符要求:“狗_吃_骨_头!(dog_eats_bone!)”。
下面是榜单的完整列表:
注2:
社会工程为某些非容易的获取讯息,利用社会科学(此指其中的社会常识)尤其心理学,语言学,欺诈学将其进行综合,有效的利用(如人性的弱点),并最终获得信息为最终目的学科称为“社会工程学”。
注3:
数据加密标准(DES,Data Encryption Standard)是一种使用密钥加密的块密码,1976年被美国联邦政府的国家标准局确定为联邦资料处理标准(FIPS),随后在国际上广泛流传开来。它基于使用56位密钥的对称算法。这个算法因为包含一些机密设计元素,相对短的密钥长度以及被怀疑内含美国国家安全局(NSA)的后门而在开始时是有争议的,因此DES因此受到了强烈的学院派式的审查,并以此推动了现代的块密码及其密码分析的发展。
DES现在已经不被视为一种安全的加密算法,主要因为它使用的56位密钥过短。1999年1月,distributed.net与电子前哨基金会合作,在22小时15分钟内即公开破解了一个DES密钥。也有一些分析报告提出了该算法的理论上的弱点,虽然在实际中难以得到应用。为了提供实用所需的安全性,可以使用DES的派生算法3DES来进行加密,虽然3DES也存在理论上的攻击方法。在2001年,DES作为一个标准已经被高级加密标准(AES)所取代。另外,DES已经不再作为国家标准科技协会(前国家标准局)的一个标准。
注4:
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击。