国内净水器价格联盟

信息安全渗透测试培训笔记

微安全2018-08-04 15:38:39


The ten step to kill a person, not to stay a thousandmiles. --White Lee


三月,月末,未时。


百望山下,大柳树边,狼厂一梦金。


(就是百度的一个会议室)


众人满座,灯光处一人、一屏。


喧闹、就坐、关门、寂静,期待。


没有惊堂木,讲者已开始道来,题为《渗透测试》。谈得是如何利用攻击者的方法在甲方授权的情况下,非破坏性的脆弱性识别。


场内,听众聚精会神,他们似乎听出了里面的技术。


而我,却听到了“杀气”。这手段与传说中绿林好汉白帽子黑客们的手段可是如出一辙。


说的是流程、工具、方法,


听的是套路、兵器、秘笈。


台下一书生问道:“我厂爱好和平素来精于建设,何故要习得此般破坏之术?”


听得此言,料定这并非业内人士。


二十年以来,国内流行西学。


信息安全其构架有三字诀,曰:御、测、应。


御者:

保护就是采用一切可能的措施来保护网络、系统以及信息的安全。保护通常采用的技术及方法主要包括加密、认证、访问控制、防火墙以及防病毒等。


测者:

检测可以了解和评估网络和系统的安全状态,为安全防护和安全响应提供依据。检测技术主要包括入侵检测 、漏洞检测以及网络扫描等技术。


应者:

应急响应在安全模型中占有重要地位,是解决安全问题的最有效办法。解决安全问题就是解决紧急响应和异常处理问题,因此,建立应急响应机制,形成快速安全响应的能力,对网络和系统而言至关重要。


又有众人陆续作问,讲者谈笑间作答。


事毕,人皆散去。


我独坐一旁,内心暗自思量,听众何故没有注意刚刚提到的“心法”。


套路、兵器、秘笈,这些只是大家能够看到的手段,然若要在弹指间达到的境界,这后面还有心法、无痕术、追踪术等的秘笈。


手段是操作功夫,系统众多,弱点众多,以人之能力记忆无穷多手段,殆矣。


心法者,思路也。识得各种手段分类,而无需精于记忆众多弱点。心法总集为“七步杀伤链”,其下分为各式,如下为秘笈残页:

 


此乃渗透之学精华所在。


渗透工程师另有资质要求,单求二字“耐心”。


即是资质,也是套路。无需手段,终日关注目标,待到漏洞出现,运维者尚未完成补丁之日,即是攻击者拔刀之时。


今日所学内容,鄙人归来整理,不觉天已漆黑。腹中饥馑,楼下公厨定无人烟,也罢。厂外电气车马尚在,现在离去,尚能地铁归家。


至于安全道术,各位若要深得其法,且听下回分解。


=网络世界侠客情怀,请关注微安全=