首页 > 原创 > 正文

什么是渗透测试工程师

最后更新 :2022.05.05

什么是渗透测试工程师

渗透测试工程师是网络安全大方向下网络安全应急与防御岗的一个细分岗位。

什么是渗透测试

渗透测试,是为了证明网络防御按照预期计划正常运行而提供的一种机制。不妨假设,你的公司定期更新安全策略和程序,时时给系统打补丁,并采用了漏洞扫描器等工具,以确保所有补丁都已打上。如果你早已做到了这些,为什么还要请外方进行审查或渗透测试呢?因为,渗透测试能够独立地检查你的网络策略,换句话说,就是给你的系统安了一双眼睛。而且,进行这类测试的,都是寻找网络系统安全漏洞的专业人士。

渗透测试 (penetration test)并没有一个标准的定义,国外一些安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。

换句话来说,渗透测试是指渗透人员在不同的位置(比如从内网、从外网等位置)利用各种手段对某个特定网络进行测试,以期发现和挖掘系统中存在的漏洞,然后输出渗透测试报告,并提交给网络所有者。网络所有者根据渗透人员提供的渗透测试报告,可以清晰知晓系统中存在的安全隐患和问题。

1、渗透测试工程师需要具备哪些综合能力?

掌握透测试流程及独立完成透测试工作的能力;

具备良好的沟通表达,团队合作能力及逻辑分析能力;

具备良好的执行力、责任心强,具备较强的自主学习能力;

2、渗透测试工程师需要拥有哪些专业知识?

掌握透测试各阶段的主要工作内容;

掌握主流的身体测试工具应用方法;

掌握透测试的各项技术能力;

掌握身体测试报告编写方法;

掌握与透测试相关的法律、法规、规章制度;

3、渗透测试工程师需要掌握哪些技术技能?

熟练掌握Java或C/C++语言,具备良好的编程能力;

熟练掌握1-2门脚本语言,如Python、Powershell、Shell脚本等;

掌握常见的漏洞原理、利用以及修补方法(OWASP TOP10);

掌握常见透测试的思路及方法;

掌握常见透测试工具使用方法,如BURP、SQLMAP、NMAP、AWVS等;

掌握主流的网络 透技术,如信息搜集、SQL注入、XSS跨站脚本攻击、文件上传、反序列化攻击、SSRF,CSRF、横向移动、提权等

了解APT攻击的基本思路与常用方法;

了解网络安全法等国家法律及渗透测试工作必须遵守的规章制度;

掌握完整渗透测试报告的编制方法;

4、渗透测试工程师需要有哪些工程实践?

具有完整渗透测试项目的完整经验。

怎么成为一名合格的渗透测试工程师


自学是很难成为一名合格渗透测试工程师的,因为知识点涉及的太广,只有系统的培训和定向才是关键。目前,网盾安全学院讲师正在系统讲解渗透测试工程师的职业规划,如果你对就业很迷茫,想从事安全相关行业,网盾安全学院为你推荐扩展资料:网络安全培训哪家更靠谱?

网盾安全学院能给学员提供最优质的学习路线,并有着高标准的教学硬件设施,满足实践教学需求,还原工作真实场景。

网盾与多家大型企业签订了网络安全人才培养协议,学员学习考试合格,就业机会多。

- END -

看更多