*** 安全到底是做什么的?有哪些工作
*** 安全可就业的方向有很多,比如:
1、安全服务工程师
主要负责甲方设备安全调试工作,需精通服务器、 *** 技术以及安全设备原理与配置。
2、安全运维工程师
安全运维工程师,主要对乙方安全防御体系的运维和应急响应工作。能够熟练配置安全设备,具有极强日志分析能力。需精通渗透技术、安全设备原理,知识面要求广,实战能力强。
3、代码安全审计
对网站代码进行审计,发现其中可能存在的漏洞;漏洞修补方案制定,对发现的漏洞制定修补方案。
4、安全售前工程师
主要负责与购买方沟通接洽,根据乙方产品,设计技术方案,满足甲方安全需求。需精通服务器, *** 技术,安全设备,攻防技术,并对安全趋势跟踪紧密,表达能力和文档能力。
5、web安全工程师
主要负责自身网站安全服务工作,从代码层及业务逻辑层面为开发提供安全建议。需对web安全原理有深入理解,并熟悉公司业务流程。
6、渗透测试工程师
主要负责渗透测试工作。在授权模式下,通过各种攻击技术渗透甲方真实 *** 与服务器环境,提供渗透测试报告及修复建议。需精通攻击渗透技术与防御技术。
7、等保测评工程师
等保测评的项目实施及管理包括等保测评的物理安全测评、主机安全测评、数据安全测评、应用安全测评、安全管理的测评。
更受欢迎的软件安全性测试工具有哪些?
之前在做 国内软件测试现状调查 之时,因为安全性测试工具太多,结果显示其分布比较广,填写“其它”占的比重很高(66%),为此专门做了一个调查 ,虽然收集的有效反馈不多(不到100),但基本反映了测试工具的使用现状。
1. 从总体看,(静态的)代码分析工具和(动态的)渗透测试工具应用还是比较普遍 ,超过60%,而且渗透测试工具(73.68%)略显优势,高出10%。模糊测试工具,可能大家感觉陌生,低至16%,但它在安全性、可靠性测试中还是能发挥作用的。从理论上看,代码分析工具应该能达到95%以上,因为它易用,且安全性已经是许多公司的红线,得到足够重视。 希望以后各个公司能够加强代码分析工具和模糊测试工具的应用。
2. Java代码安全性分析工具前三名是 : IBM AppScan Source Edition(42.11%)、Fotify Static Code Analyzer(36.84%)、Findbugs(26.32%) ,而JTest、PMD等没进入前三名,虽然和第3名差距不大,只有5%左右。也有公司使用Checkmarx,不在此调查中。Coverity也支持Java,可能Java的开源工具较多,人们很少用它。
3. C/C++代码安全性分析工具前三名是 : C++Test(38.89%)、IBM AppScan Source Edition(38.89%)、Fotify Static Code Analyzer(27.78%)、Visual Studio(27.78%) 。Coverity、CppCheck、LDRA Testbed 没能进入前三名,可能LDRA Testbed比较贵,关键的嵌入式软件采用比较多,而Coverity Cloud针对Github等上面的代码有免费服务(),大家可以尝试应用。
4. JavaScript代码安全性分析工具应用最多的是 Google's Closure Compiler,其次是 *** Hint,也有的公司用Coverity来进行 *** 的代码分析。
5. Python代码安全性分析工具应用最多的是Pychecker ,其次是PyCharm,而Pylint使用比较少,也有几个公司用Coverity来进行Python的代码分析。
6. Web应用安全性测试的商用工具中,IBM AppScan异军突起 ,高达70%的市场,其它商用工具无法与它抗衡,第2名SoapUI和它差距在50%以上,HP webInspect 不到10%。
7. Web应用安全性测试的开源工具中,Firebug明显领先 ,将近50%,比第2名OWASP ZAP高12%,第三名是Firefox Web Developer Tools,超过了20%。
8. Android App的安全性测试工具中,Android Tamer领先 ,将近30%,比第2、3名AndroBugs、Mobisec、Santoku高15%左右。也有用其它不在调查项中的工具,总体看,Android App安全性测试工具分布比较散。
9. *** 状态监控与分析工具中,Wireshark遥遥领先,超过70%。 其次就是Tcpdump、Burp Suite,占30%左右。 *** 状态监控与分析工具挺多的,但从这次调查看,越来越集中到几个工具中,特别是Wireshark功能强,覆盖的协议比较多,深受欢迎。
10. SQL注入测试工具排在前三位的:SQLInjector、SQL Power Injector、OWASP SQLiX, 三者比较接近,差距在6%左右。其它两项工具Pangolin、SQLSqueal也占了10%,而Antonio Parata、Blind SQL Injections、Bsqlbf-v2、Multiple DBMS Sql Injection、Sqlninja几乎没什么人用。
安全性测试工具很多,还包括黑客常用的一些工具,如暴力破解口令工具、端口扫描工具、防火墙渗透工具、渗透测试平台等。从某种意义看,它们超出软件范畴,更多属于 *** 空间安全、密码学等范畴,在此就不展开了。概括起来更受欢迎的软件安全性测试工具有:
*** 安全都有哪些就业方向?
能够胜任的岗位主要有:渗透测试工程师、大数据安全工程师、信息安全工程师、安全测试工程师、安全服务工程师、安全运维工程师、系统安全工程师、服务器安全工程师、云计算安全工程师、 *** 安全工程师、安全分析师、渗透讲师等;
说了这么多,可能还是有挺多人不太明白,词汇太过专业,那就来点接地气的说法;
按照web渗透、内网渗透、自动化渗透、代码审计、日志分析、应急响应、安全加固等知识点学完后,上述大部分岗位胜任完全没有问题,前提是实战技术要过硬,工具要使用得溜溜的。
1.专业对口:渗透测试工程师
专业比较对口的工作是渗透测试工程师,主要是在企业中承担找漏洞的角色,找漏的对象主要是企业授权的站或者自己家系统的漏洞;也有定点突破的一些来自GA的网站等;
2.能力提升阶段:安全服务岗位
如果能力处于提升阶段的,从事安全服务岗位是较为合适的,该岗位需要懂Web漏洞的一些原理,能够使用一些渗透工具做Web漏洞扫描或内网扫描 ,针对扫描结果生成渗透测试报告,并能够提出一些整改的建议即可;难度相对要低一些,更多的时候都是采用工具去完成渗透,主要原因也是因为任务较重,一天需要渗透测试的网站较多,需要短时间测试完毕;
3.能力较强:进入企业/实验室跟进产品线
有一些能力强一点的也会选择进入企业或者实验室,跟产品线的,很多时候需要做安全分析,如态势感知的产品,需要懂Web渗透的原理、利用和编写POC或EXP,然后利用wireshark抓包分析,提取漏洞攻击和利用的一些规律,提取对应的规则等;
4.能力强、口才好:渗透讲师岗位
当然如果你的能力和口才不错,也可以选择渗透讲师岗位,不过该岗位对工作经验有一定的要求。
*** 安全工程师需要会哪些东西?
想要成为一名优秀的 *** 安全工程师需要掌握的东西有很多,除了需要学习 *** 安全相关知识外,还需要学习Linux、Python等知识。以下是老男孩教育 *** 安全课程学习内容,可以参考一下:
之一部分,基础篇,包括安全导论、安全法律法规、web安全与风险、攻防环境搭建、核心防御机制、HTML *** 、PHP编程等。
第二部分,渗透测试,包括渗透测试概述、信息收集与社工技巧、渗透测试工具使用、协议渗透、web渗透、系统渗透、中间件渗透、内网渗透、渗透测试报告编写、源码审计工具使用、PHP代码审计、web安全防御等。
第三部分,等级保护,包括定级备案、差距评估、规划设计、安全整改、等保测评等。
第四部分,风险评估,包括项目准备与气动、资产识别、脆弱性识别、安全措施识别、资产分析、脆弱性分析、综合风险分析、措施规划、报告输出、项目验收等。
第五部分,安全巡检,包括漏洞扫描、策略检查、日志审计、监控分析、行业巡检、巡检总体汇总报告等。
第六部分,应急响应,应急响应流程、实战 *** 应急处理、实战Windows应急处理、实战Linux应急处理、实战、Web站点应急处理、数据防泄露、实战行业应急处理、应急响应报告等。
如有学习需求,欢迎前来试听~
*** 安全工程师一般要学习哪些课程啊
*** 安全工程师课程一般包含渗透测试、漏洞挖掘、漏洞利用、漏洞修复、代码审计、安全脚本编写、SRC挖洞、CTF比赛、综合实验靶场练习等内容。
0条大神的评论