渗透测试公司工作经验记录分享

伴随着我的客户圈慢慢扩展，我的薄弱点也更加突显，例如我长期性摸着内部网，对外部网不太熟，对传统式的安全研究评估也拿捏不准确，一个详细的安全新项目自己压根担负不了。为填补外网地址工作经验和安全研究评估工作经验上的缺点，我下定决心要为自己换一份工作——到更加全方位的服务平台去学习大量的东西，提高自己的实际价值。饱经探寻，一家中等规模的安全公司向我抛出去了招纳入职聘请书。我在这个公司刚已入职就接触到了安全风险评测、渗透测试等传统式安全新项目。过去的安全企业里许多安全界的老前辈变成了我的领路人，除了念书通过自学外，我经常向老前辈求教新项目疑难问题。别认为拥有教师就万事如意了，我碰到的麻烦还真多。

还记得第一次是和移动地市级营运商的协作。我想为移动地市级营运商做一个风险评估，但在新项目开展全过程中，另一方少给了我两月财产明细，我还在核查时都没有发觉——这造成很多增加财产（包含新的安全机器设备、新发布的安全系统软件）也没有被处理完毕。持续工作中了十五天，我取出分析报告给客户看时，客户诧异的问：“财产如何少了这么多？”大伙儿一沟通交流才发觉原先有两月的明细沒有录入，这一出错，要我迫不得已再持续挑灯夜读了五个工作日。第二次是我要去做一个渗透的新项目，客户是一个大的政府机构，客户要想对于本身安全安全防护管理体系做一次基本评估，另外也认证我那时候所属企业的安全支撑点工作能力，规定己方对其web网站开展渗透测试，把我选做企业的前锋，首先去观察一下客户的安全安全防护工作能力，要是我可以攻破另一方的系统软件即使达到目标。

结果几日过去了，我试着了多种多样方式 都攻不进去，一开始原以为是客户在服务器防火墙上再次调节对策，过虑和屏蔽掉先前进行的检测数据文件，促使一切信息内容都没搜集到，后边也没有什么构思，只有根据商务同事，了解了下客户，是不是有调节服务器防火墙对策？还记得从商务同事手机上传出了客户有点讽刺的响声“人们沒有调节服务器防火墙的相对对策呢，你们的工程师渗透工作能力也比较弱吧，都还没取得管理权限？

之后商务同事干脆运用本人关联联络了一个杰出黑客——那个人一下子就攻进了政府机构web网站，取得了访问权限，协助公司证明了整体实力，争得来到新项目。这一事情一件事严厉打击挺大，它纯碎是整体实力上的差别，可是这一次却激起了我逐步完善自身的技术能力，掌握新的构思。第三次，我得到来到一家客户的授权，被容许对其內部资产开展安全扫描，但我还在扫描前，遗忘了与客户确定，是不是能够 开展扫描，谁可以料想到，我的渗透测试竟把客户较为关键的三台网络服务器扫挂掉。客户对我莽撞的扫描行为觉得十分不满意。过后.我获知，实际上那时候并并不是由于扫描造成的，仅仅恰好客户的网络服务器在升级，本就并不是很平稳，一扫描就导致服务器宕机了。

经历了这三次比较难堪的事件，我得到了工作经验，一方面提高整体实力是关键所在，另一方面还要学着多和客户沟通交流——做安全，便是安全感，不可以无拘无束，刚开始的情况下差一点点，到最终就不清楚差到哪里去了，说了那么多着都是我自己的学习之路，如果各位朋友想要对网站或app进行渗透测试的话可以向专业的网站安全公司来处理，推荐几家比较专业的如SINESAFE,鹰盾安全，绿盟，安渗科技等等。