51CTO首屆中國(guó)APP創(chuàng)新評(píng)選大賽正在招募>>

無(wú)疑，Web安全測(cè)試工程師或Web滲透測(cè)試工程師的任務(wù)就是審計(jì)公司的Web應(yīng)用程序、Web服務(wù)、Web服務(wù)器的安全性。那么，公司如何才能請(qǐng)到優(yōu)秀的Web應(yīng)用安全專(zhuān)家而不是紙上談兵的“趙括”?下面的這八項(xiàng)素質(zhì)或技能可以為公司選聘Web滲透測(cè)試人員提供參考：

1. Web滲透測(cè)試人員擁有一定的開(kāi)發(fā)背景(知道如何編碼)

公司不可能聘用一位連編寫(xiě)代碼都不懂人成為滲透測(cè)試人員。公司的Web滲透測(cè)試者應(yīng)首先是開(kāi)發(fā)者，在此基礎(chǔ)上才考慮對(duì)Web漏洞掃描器的掌握技能，其好處有五個(gè)方面：

· 了解所開(kāi)發(fā)WEB應(yīng)用的漏洞和缺陷;

· 知道如何保障應(yīng)用的安全，如何為其打補(bǔ)丁，如何測(cè)試;

· 可以使評(píng)估者開(kāi)發(fā)自己的安全工具;

· 與那些沒(méi)有任何開(kāi)發(fā)經(jīng)驗(yàn)的人員相比，如果培訓(xùn)得當(dāng)，開(kāi)發(fā)者更容易適應(yīng)測(cè)試Web應(yīng)用的任務(wù)。

· 能用簡(jiǎn)單的腳本編寫(xiě)驗(yàn)證代碼，能驗(yàn)證已發(fā)布漏洞的真實(shí)性。

如果Web滲透測(cè)試者甚至不知道如何用html編碼，或者以前也從沒(méi)有做過(guò)程序員的工作，公司敢請(qǐng)他從事靜態(tài)代碼的測(cè)試嗎?

2.了解開(kāi)放式Web應(yīng)用程序安全項(xiàng)目(OWASP)

Web滲透測(cè)試工程師應(yīng)熟悉開(kāi)放式Web應(yīng)用程序安全項(xiàng)目的TOP 10，即OWASP的最重要文檔，這是因?yàn)樗驖B透測(cè)試人員傳達(dá)了Web應(yīng)用程序的最重要的安全意識(shí)。

OWASP的TOP 10涉及一些最嚴(yán)重的Web應(yīng)用程序漏洞的細(xì)節(jié)，其中包括SQL注入、失效的認(rèn)證和會(huì)話管理、跨站腳本攻擊、不安全的直接對(duì)象引用、安全性的錯(cuò)誤配置、敏感數(shù)據(jù)的暴露、功能級(jí)訪問(wèn)控制的缺失、使用有漏洞的組件、未經(jīng)驗(yàn)證的重定向和轉(zhuǎn)發(fā)。

如果滲透測(cè)試者能夠深入理解和評(píng)述OWASP的TOP 10,甚至能夠在其自己的實(shí)驗(yàn)室或機(jī)器上演示這些攻擊，他就足以勝任此工作。

除了上述項(xiàng)目，如果滲透測(cè)試者還熟悉由OWASP發(fā)起的一些項(xiàng)目，如Mutilidae，或者搭建了一個(gè)有安全問(wèn)題的OWASP Web應(yīng)用項(xiàng)目，他就是一個(gè)有著攻擊Web應(yīng)用程序熱情的真正愛(ài)好者。

3.參與過(guò)漏洞獎(jiǎng)金項(xiàng)目

什么是漏洞獎(jiǎng)金項(xiàng)目?就是由某個(gè)公司發(fā)起的一個(gè)獎(jiǎng)勵(lì)黑客的計(jì)劃：黑客必須能夠在公司提供的應(yīng)用程序中找到安全漏洞，并且通過(guò)一種可靠的揭露方式來(lái)報(bào)告此漏洞。

如果申請(qǐng)滲透測(cè)試工程師的人曾經(jīng)是一個(gè)漏洞獎(jiǎng)金獵人(黑客)，他就必然曾經(jīng)遇到和報(bào)告過(guò)除SQL注入、跨站腳本攻擊、RCE之外的非一般漏洞。這證明該黑客能夠在公司的應(yīng)用中找到一些重要漏洞。

如果申請(qǐng)者的名字曾經(jīng)出現(xiàn)在諸如谷歌、微軟、Twitter、Facebook等提供漏洞獎(jiǎng)金項(xiàng)目的公司網(wǎng)站上，尤其是他曾經(jīng)因報(bào)告過(guò)火狐、IE、Chrome的漏洞而獲得過(guò)獎(jiǎng)金，那么，該申請(qǐng)者就是一位杰出的滲透測(cè)試工程師。

4. 在Exploit-DB、Packet Storm或其它漏洞數(shù)據(jù)庫(kù)中發(fā)布過(guò)漏洞利用程序

漏洞利用程序的開(kāi)發(fā)者、漏洞研究人員、漏洞獵人等往往都揭露過(guò)開(kāi)源軟件和企業(yè)產(chǎn)品中的安全漏洞，尤其值得注意的是，如果這些人員曾經(jīng)獲得過(guò)CVE(通用漏洞與披露)的ID或OSVD(開(kāi)源漏洞數(shù)據(jù)庫(kù))的ID，那將是非常出色的申請(qǐng)者。

這些申請(qǐng)者能夠輕松地復(fù)制、修復(fù)、處理安全掃描器所發(fā)現(xiàn)的漏洞。由于這些人員還是精通安全的開(kāi)發(fā)者，因而由他們?yōu)樘囟┒撮_(kāi)發(fā)驗(yàn)證代碼是非常容易的。

這些申請(qǐng)者中的多數(shù)人還是熟練的逆向工程師和靜態(tài)代碼審計(jì)師，所以除非沒(méi)有受到激勵(lì)，否則，他們將是很出色的選擇。當(dāng)然，如果他們?cè)?jīng)給Metasploit Framework貢獻(xiàn)過(guò)漏洞利用模塊和輔助模塊，更是錦上添花。

5.對(duì)安全的好奇心和熱情(或稱(chēng)黑客思想)

公司不能雇傭那些只是理論上知道OWASP方法的人，也不應(yīng)通過(guò)其閱讀的安全文檔而雇傭某人。真正的Web滲透測(cè)試者還必須了解如何從外部來(lái)思考，并運(yùn)用或測(cè)試這種方法，例如，他可以搭建自己的安全試驗(yàn)室，從而可以練習(xí)所學(xué)習(xí)的方法，攻擊其自己的有漏洞的Web應(yīng)用。

優(yōu)秀的Web滲透測(cè)試工程師應(yīng)像黑客一樣思考，因?yàn)楹诳褪且环N充滿(mǎn)好奇且不斷創(chuàng)新的人。對(duì)企業(yè)來(lái)說(shuō)，雇傭一個(gè)總是愿意和樂(lè)于學(xué)習(xí)的安全專(zhuān)家更好呢，還是雇傭一個(gè)擁有許多安全證書(shū)、在信息安全領(lǐng)域有了很多知識(shí)卻沒(méi)有將其所學(xué)應(yīng)用到實(shí)踐中的人更好呢?

必須承認(rèn)，證書(shū)并不能造就黑客，成就黑客的是創(chuàng)新精神和激情，但這并不是說(shuō)安全證書(shū)不值錢(qián)。

6.精通UNIX或GNU/Linux

雖然多數(shù)企業(yè)Web應(yīng)用程序的漏洞掃描器(如IBM的Security Appscan)都運(yùn)行在Windows上，但仍有許多免費(fèi)的開(kāi)源的Linux工具可用于Web滲透測(cè)試和審計(jì)。

精通GNU/Linux和UNIX可以使?jié)B透測(cè)試人員比Windows用戶(hù)更占優(yōu)勢(shì)，因?yàn)榫↙inux的用戶(hù)可以更容易地使用Kali Linux和Backbox Linux等綁定了滲透測(cè)試工具的Linux發(fā)行版。如果申請(qǐng)滲透測(cè)試工作的人擁有Linux和UNIX背景，那么使用命令行工具就不是一個(gè)問(wèn)題。

尤其值得注意的是，多數(shù)網(wǎng)站都由有著良好穩(wěn)定性和合理TCO(總擁有成本)的GNU/Linux的服務(wù)器管理。

7.安全證書(shū)仍是加分項(xiàng)

通過(guò)了某項(xiàng)安全認(rèn)證考試(如CEH、ECSA、CEH、CISSP)本身就是一種投資。用戶(hù)將時(shí)間投資于道德黑客和滲透測(cè)試。參加某種安全認(rèn)證考試的培訓(xùn)可以使用戶(hù)獲得、閱讀、學(xué)習(xí)、練習(xí)各種優(yōu)質(zhì)資源。

通過(guò)某項(xiàng)認(rèn)證并不能保證某人就已經(jīng)是一名黑客，卻是一個(gè)良好的開(kāi)端和基礎(chǔ)。

在雇傭Web安全測(cè)試工程師時(shí)，通過(guò)安全認(rèn)證并不是必需的，因?yàn)閃eb安全滲透測(cè)試仍依賴(lài)于申請(qǐng)者的Web安全和安全測(cè)試技能。知識(shí)、技能、認(rèn)證三管齊下終歸是一種強(qiáng)大證明。

8.參加過(guò)安全大會(huì)或當(dāng)?shù)氐暮诳突顒?dòng)

花費(fèi)很多時(shí)間參加黑客大會(huì)(如DEFCON、黑帽、ROOTCON)可能證明申請(qǐng)成為Web滲透測(cè)試工程師的人員對(duì)安全和黑客文化的激情。黑客大會(huì)有很多話題和比賽，其中會(huì)向參與者透露很多信息和新的猛料。

【編輯推薦】