腾讯分分彩组三杀号 > Web分析 >

安全招聘中如何招到优秀的Web渗透测试人员?

2018-07-22 14:29

  越来越多的企业招聘安全人员,然而安全人员大多草根出身,可谓鱼龙混杂。作为企业,你就必须要知道如何才能招到最优秀的Web渗透人员,而不是“职业骗子”。本文罗列了一些安全招聘中其可能需要具备的素质,技能和准则,仅供参考。

  你不会想招一个只会对Web应用运行漏洞扫描器的脚本小子。而与一个仅仅知道扫描器的来龙去脉的脚本小子相比,经过安全培训后的开发人员的优势在于:

  如果培训得当,他们更容易学会正确测试web应用程序的方式——这是基于我的经验,当时我被一个软件开发公司雇佣,用来培训一组几乎没有漏洞评估经验和安全意识的开发人员,结果非常好。对我来说,这些人比非开发人员更好训练。

  当然,我不会招聘完全不懂代码的人,也不会招一个之前没有做过开发的人作为源代码审计工程师,因为这很容易出现误报。

  强烈建议熟悉OWASP的旗舰文件——OWASP的Top 10。因为它提供了有关Web应用安全的意识。

  OWASP中的TOP 10依次是:A1,注入;A2,失效的身份认证和会线,不安全的直接对象引用;A5,安全配置错误;A6,敏感信息泄漏;A7,功能级的访问控制缺失;A8,跨站请求伪造;A9,使用含有已知漏洞的组件;A10,未验证的重定向和转发。

  如果在招聘过程中,面试人能总结OWASP的Top 10,那么他应该是适合这项工作,特别是如果他可以在自己的实验室或机器上展示一些攻击方法。

  除了上述项目,如果他也熟悉一些由OWASP发起的项目比如Mutillidae,OWASP漏洞的Web应用程序项目,那么就能证明他是一个真正的安全爱好者和发烧友并且具有渗透应用程序的能力。

  首先,漏洞赏金计划是什么?这是一个公司的奖励程序,如果黑客发现他们的应用程序的一个安全缺陷,就可以通过一些平台进行负责任的披露。?国外有Hackerone、BugCrowd,国内有漏洞盒子、乌云等平台。

  如果你可以在谷歌facebooktwitter微软等公司的应急响应中心上看到面试人的名字或ID,那么他可能是一个出色的人才,特别是如果他还在Google,Chrome,Mozilla或Internet Explorer的漏洞并获得了奖励,那就说明他更牛了。

  但是仍要注意那些为了在平台上的排行榜靠前,但靠量取胜(如提交大量无效或低质量漏洞)白帽子。

  在Exploit-DB,Packet Strom,或其他的漏洞数据库公开或披露利用程序、公开披露开源软件或企业软件漏洞的EXP作者,漏洞研究者以及白帽子都是值得你考虑招聘的人选,尤其是那些漏洞带有CVE-ID或者OSVD-ID。

  如果候选人不具备对安全领域的激情,那么你很难把他们培养成一个优秀的安全人员。优秀的安全人员需要始终保持对知识的渴望——这是黑客的心态,始终探索新的可能性。

  你不能招那些仅是通过阅读书籍和文档了解OWASP的测试方法的人。他们还必须知道如何跳出固有思维模式应用或测试。比如喜好搭建自己的实验环境,攻击和测试自己搭建的脆弱的web应用程序,练习他们所学到的一切。

  他们需要像黑客一样思考。黑客喜欢创新,做事出于好奇,这种主动性人才比那些有许多安全认证的和在信息安全领域有很多经验,但并没有从实践经验的人好多了!

  我们必须承认,有资质认证并不能成为一个黑客,但并不意味着安全认证完全没什么卵用。在文章的后面部分我们讨论为何有安全认证也是一个优势。

  虽然大多数商业Web应用程序漏洞扫描器运行在Windows上,但在Unix上也有很多不错的开源工具。与Windows用户相比,擅长GNU/LINUX和UNIX的优势在于能够熟练的使用渗透测试系统Kali linux,backbox linux,以及命令行工具。

  这也是最值得关注的,大多数网站都会因为稳定性和总体拥有成本而托管在GNU /Linux服务器。

  当然,这是一个加分项!通过CEH/ CHFI/ ECSA/CISSP等的认证考试是一种投资。是的,你投入你的时间,得到了你一定安全证明。通过一定的认证将不能保证你已经是一个黑客,但它仍只是开始和一个良好的基础,除非这家公司仅仅为了合规性要求才招聘安全人员。

  然而,这并不是在聘用网络安全测试人员的硬性要求,但知识+技能+认证始终是一个优势。

  出席过像DEFCON、BlackHat、 ROOTCON、 Derbycon这样的国际黑客会议,很容易证明候选人是如何充满激情的对待安全与黑客文化的。黑客界有各种各样的主题和比赛,这将给与会人员带来新的收获。

  虚拟化安全 “化繁为简” 中国信息通信研究院携手亚信安全打造“一体化”管理平台

  比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。

  比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!

  比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。

  比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。

  比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。

  比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。

  新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。

  比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。

  比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。

  IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。

  X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。