给ChatGPT的灵魂三问
2022-12-17 14:5:21 Author: 浪飒sec(查看原文) 阅读量:10 收藏

免责声明

本公众号所发布的文章及工具只限交流学习,本公众号不承担任何责任!如有侵权,请告知我们立即删除。

如何做好一个渗透测试工程师

  1. 了解操作系统和网络技术:渗透测试工程师需要熟悉操作系统和网络技术,掌握各种操作系统的安装、配置以及网络技术,如TCP/IP、HTTP、FTP等,这些技术可以帮助他们更好地理解系统的漏洞和攻击方式。

  2. 熟悉安全测试工具:渗透测试工程师需要熟悉常用的安全测试工具,如Nmap、Metasploit、Burpsuite等,这些工具可以帮助他们更有效地进行渗透测试。

  3. 熟悉渗透测试流程:渗透测试工程师需要熟悉渗透测试的标准流程,如信息收集、漏洞扫描、漏洞利用、报告编写等,这样才能更好地完成测试任务。

  4. 熟悉安全技术:渗透测试工程师需要了解各种安全技术,如加密技术、认证技术、安全架构等,这样可以更好地理解系统的安全防护机制。

  5. 熟悉安全标准:渗透测试工程师需要了解各种安全标准,如ISO 27001、PCI DSS等,这样可以更好地理解系统的安全要求。

给一些日常漏洞挖掘建议

这里可能意会有偏差,GPT给的答案应该是防守方如何及时发现自己的漏洞。

  1. 使用自动化漏洞扫描器,比如Nessus,Nmap,Acunetix等,定期扫描网络以发现漏洞。

  2. 通过查看操作系统和应用程序的日志文件,以发现可疑的活动。

  3. 定期检查服务器上的文件和文件夹权限,以确保其安全。

  4. 定期检查软件,操作系统和安全补丁,以确保它们是最新的。

  5. 在网络中运行安全审计工具,以发现可能的漏洞。

  6. 定期运行网络安全测试,以确保网络架构是安全的。

  7. 建立一个网络安全策略,以确保所有网络设备都遵守安全标准。

  8. 定期检查防火墙,以防止未经授权的访问。

  9. 定期监控网络流量,以发现潜在的攻击行为。

  10. 定期监控网络设备,以确保它们的安全性。

如何挖掘一个0day

0day挖掘是一个复杂的过程,需要涉及到许多技术,包括但不限于:

  1. 阅读源代码:读懂程序的执行流程,发现潜在的漏洞。

  2. 逆向工程:使用逆向工程工具,分析二进制文件,查找可能存在的漏洞。

  3. 动态分析:使用调试器,跟踪程序的执行流程,查看每一步的输入输出,发现可能的漏洞。

  4. 漏洞验证:使用漏洞验证工具,验证漏洞是否存在,并尝试利用漏洞执行恶意代码。

  5. 安全研究:阅读安全研究文章,学习安全技术,发现新的漏洞。

此外,还可以尝试使用自动化漏洞挖掘工具,自动扫描程序代码,发现漏洞。

历史推荐

冰蝎、哥斯拉 内存马应急排查

工具推荐——super-xray

浪飒sec博客网正式上线

安卓APP推荐——网络万用表

漏洞复现-Tomcat8弱口令&&后台Getshell

超详细的渗透测试思维导图

安卓APP推荐——HookVip

安卓APP推荐——IP Tools去广告版

域渗透-横向移动命令总结

SRC经验分享-BP历史流量找到的信息泄露


文章来源: http://mp.weixin.qq.com/s?__biz=MzI1ODM1MjUxMQ==&mid=2247490642&idx=1&sn=15807c342eccb060357b8c4d93b4890a&chksm=ea082842dd7fa15441823bbd990a258a93dfb87abedb417a4f72ceabe3e23cc74ab85ab0b4b5#rd
如有侵权请联系:admin#unsafe.sh