2018年10月28日 星期日

滲透測試工程師的​Linux​學習之路




文章摘要: 畢業後的自己,做了一年的網路工程師,每每發現實在是不喜歡時,就想鼓起勇氣轉行和跳槽,但是在此過程中,總是不停地被別人和自己懷疑,到底是沒有耐心還是自己的能力不足,總是在被面試人員問的一臉茫然的夢中驚醒。隨著生活水平的整體提高,每個月的花銷也越來越跟不上自己的工


畢業後的自己,做了一年的網路工程師,每每發現實在是不喜歡時,就想鼓起勇氣轉行和跳槽,但是在此過程中,總是不停地被別人和自己懷疑,到底是沒有耐心還是自己的能力不足,總是在被面試人員問的一臉茫然的夢中驚醒。隨著生活水平的整體提高,每個月的花銷也越來越跟不上自己的工資,在月末的幾天總是在夜裏一邊加班一邊吃泡麪度日。總是在深夜中無數次問自己,到底哪裏出現了問題,但再一次次的反思中,我發現問題還是出現在自己身上。



如果真的對現在的工作提不起興趣,那就要想辦法去改變現狀。在工作中除了對路由器和交換機的配置外,也會接觸到Linux作業系統,起初是因為接觸到的這臺伺服器需要遠端用命令列操作,感覺非常有趣,而且比windows的CMD強大很多,慢慢激起了我對Linux系統的興趣,工作中涉及到對一個網管監控系統的操作,其中每一步都需要我在百度上查詢如何操作,比如如何通過vim來修改配置文件等等,但一直用百度來幹活也不是個辦法,然後就發現了一個叫linuxprobe的站點,這是一位書籍作者為自己寫的Linux教程書專門做的網站,書名叫《Linux就該這麼學》,通過在網站上大致閱讀了一下,發現用來入門沒有什麼問題,然後就配合着鳥哥私房菜一起作為我的Linux學習教材。



通過對Linux的學習,發現了接下來的兩種路徑,第一是做運維,做維護伺服器等工作,第二是做滲透測試,也就是白帽子。後來終於決定了以後的發展路線,那就是做滲透測試,而且之前積累的網路知識也有用武之地。接下來我介紹下滲透測試。滲透測試就是爲了在攻擊者攻擊系統之前發現系統的漏洞,傳統的安全評估等是發現漏洞並且利用漏洞獲取許可權和漏洞統計,針對黑客攻擊過程開展分析,捕獲並分析其中與安全漏洞有關的各類資訊,發展黑白盒測試、模糊測試等技術,並改進提升安全性測試的質量,並且一定要有安全意識。其實在windows上也有很多供測試工程師使用的滲透測試工具,但更專業的滲透測試則應該在Linux平臺上。在滲透測試行業中,Kali Linux是使用率最高的Linux發行版,其基於Debian的Linux二次髮型版系統,專門被設計用於資料取證,BackTrack是其前身。其預裝了絕大部分滲透測試需要使用的軟體,比如nc、nmap、Aircrack-ng,大名鼎鼎的Metaspoit,還有作為網路工程師必回使用的Wireshark抓包工具。Kali Linux使用單使用者模式,設計root登入許可權,並且具有預設禁用網路服務的sysvinit hooks,由於Kali的滲透使用場景也包括無線網路,其使用的是打過無線注入補丁的核心。


在工作中一定會遇到很多問題、很多場景,比如在客戶系統中部署了防火牆,爲了進行安全測試,可以故意繞開防火牆進行測試,比如通過內部無線網,模擬一些情況進行測試,深入瞭解其系統,以匠人的態度對待每次測試工作。在測試時,需要提前做好工作安排,比如確定每次的工作內容,對授權系統進行滲透時,不要分心去測試其他系統。而且不要做暴力測試,儘量不用掃描器,以降低對系統的傷害,對敏感系統的測試最好申請搭建臨時環境或者申請賬號。在工作過程中如果發現系統已經被入侵,那就要及時通知,並準備應急響應。


對滲透測試這份工作也要有職業規劃,在學好Linux的同時也要注意以下幾點。在學習的過程中最好要組建自己的模擬實驗環境,有能力的情況下可以在公司內部組建資訊保安實驗室,對符合自身業務的漏洞進行跟蹤還原,並進行修復。與同事之間進行攻防實戰,逐步形成常態化攻防演練,並建立攻擊監控系統。不能犯之前的毛病,做事一定要有計劃,規定一個時間範圍來逐漸提升自己技術實力。選定職業發展道路,如果要走管理崗,那就要提前學習管理方法,提高管理能力水平,逐步擴大交際圈,取長補短,合理分配與同事的工作,提高效率,如果對此事業沒有興趣時一定要再及時找第二職業,並快速融入新職業。但我還是希望每個人都能從事自己感興趣的工作,逐步提升自己的技術水平。





http://www.kubonews.com/2018102835452.html

每日即時更新新聞,請上:http://www.kubonews.com

沒有留言:

張貼留言