这些天，我在2020年RSA安全行业大会上听了一个渗透老板的经验分享，我觉得我受益匪浅。1.渗透测试服务中的常见问题1。对于客户网站系统，我们之前已经在其他安全公司做过渗透测试服务，那么我们应该如何接手呢？深入分析客户程序，细致全面地发现程序中深层次的漏洞。2.如果客户的程序部署了环境晶片防火墙服务，我们应该如何进行？你也可以绕过网络防火墙，进行渗透测试，例如，你也可以使用内部局域网的技术手段来测试。客户现有的网站安全保护可能不安全，很容易被绕过。3.您还需要对使用ukey硬件设备进行登录验证的客户端程序进行安全渗透测试吗？Ukey硬件设备的安全性也需要验证安全性测试。过去，在设备发送验证后，验证可以重复使用。4.客户端程序、网络层协议用SSL证书加密传输，传输的数据也进行rsa加密，导致数据包无法被截获。接下来我应该做什么？尝试一些常用的破解方法，如伪造https证书、重置协议以及对授权程序进行渗透测试。切勿测试未经授权的系统。5.客户网站程序似乎是一个静态网页，所以它不能进入渗透测试。那我该怎么办？该网站一直专注于数据包分析，然后寻找具有动态脚本交互功能的地方来发现问题。6、客户的系统程序，我们需要扫描网站漏洞扫描器吗？尽量不要使用漏洞扫描器来减少对客户现有运行系统的损害，尤其是敏感的关键程序，并且不要渗透到内部网。对于要测试的敏感程序，最好申请建立测试环境，使用测试帐户或申请帐户。7.客户端程序似乎在安全渗透测试中被入侵了。如何处理它？如果您发现任何黑客攻击的迹象，您应该立即通知客户，并随时准备应对安全问题的紧急响应。2.积累实践经验。1.每次你深入客户项目，客户系统安全测试将是你成长道路上的老师。2.从渗透测试过程中分析自身的缺点，然后在未来的项目行动中弥补这些缺点。3.善于与比自己强的人沟通、协商、咨询和学习。4.我们应该不断扩大我们的知识水平，不断提高我们解决问题的能力。5.遇到困难时不要退缩，但要有自信，坚信自己能完成每一项任务和挑战。6.安全知识论坛和渗透