3年，说长也长，说短也短，以前在A3年，从公司的自建房十多人，到走的那时候，上百人，自主创业不容易，一路上说不出的艰苦，也算记录了一个互联网公司的发展壮大，而且据说听闻发展壮大的也非常好，很有可能快挂牌上市了。以后跳到了一个招标方，通称B公司，到现在，又做了3年，可是与在A公司不同，身处招标方，不单单是是分析网络安全问题了，更重视的是维护公司的安全，促进安全建设。刚刚的那时候，公司五百多人，到现在快到一千八人。到公司的挂牌上市，也是人的一生较为难能可贵的行业发展机会。有的那时候我经常说，我可能也是比其他人走运许多。

今日也算为自己的3年做一个小结吧；最开始不太融入，新的环境，新的群体，仿佛沒有互联网公司大伙儿那样热情，大家都在忙着自个手工的工作，掌握公司的构架，掌握公司的安全业务状况。可是和刚工作的那时候似的，充满信心，热情无尽。还记得刚到的那时候，也是对现阶段原有的环境开展网站渗透测试，对于在承包方，而且“智勇双全”的人而言，是较为熟知的工作，最终也成功取得网站服务器管理权限，而且推动修补。以后逐渐转化成业务环境上的一个钉，对业务上架开展系统安全测试。

在测试期内，了解了许多公司的职工，对发觉的漏洞交流修补，期内也发觉了许多的网络安全问题。以后对里外的安全性测试。渗透、安全性测试还算自个较为拿手的，相较为在互联网公司，我反而感觉现阶段的工作算较为“清闲自在”。以后在安全性测试、渗透之外，也开始学习了招标方的安全建设，依据以前所掌握的、所看的开展DEV操作。安全性测试，在里面的统一化流程中，当做当中的连接点，对上架的业务统一化安全性测试，务必修补网络安全问题以后，才可以上架网站渗透测试，对里、外全部按时开展安全性测试，整理现阶段的业务，开展安全性测试，以后创建了1.0版本弱口令扫描，无页面，只有一个漏洞扫描系统的结果，对于漏洞扫描系统结果发送给发送给的人去修补，当中许多产品研发乃至沒有网站服务器管理权限，如果大家新项目上线前一定要网站渗透测试来对项目的整体漏洞有个足够的认知和预控，国内做漏洞测试的公司像SINE安全，鹰盾安全，绿盟，启明星辰等都是对漏洞渗透测试有着丰富的实战经验。

7227254)]

或是网站服务器选用集群服务器布署。2.0（已退出）的那时候运用了github开源的项目，开展再次开发，适用了主要的网站扫描、插件化扫描、服务端口号的弱口令扫描、业务统一化的SSO账号扫描，适用漏扫模式，漏扫报告书、按时安全巡检。2.0的漏扫，系统软件开发结束，可是在扫描速率上、准确度漏报率、安全运营上面沒有做提升，选用的flask+mongo，故此内存吃的也较为严重，一部分表没做数据库索引，造成开启较慢，服务这类的HIDS类似可以更全的扫描，功能上相对来说笨重，漏扫插件化尽管有可是全是各种各样CMS插件漏洞扫描系统，可是并非项目，漏扫落地式操作，扫描自个公司开发的业务，相对来说较弱。

网络安全基础入门需要学习哪些知识？

网络安全学习路线

这是一份网络安全从零基础到进阶的学习路线大纲全览，小伙伴们记得点个收藏！

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-v19T846c-1677167179814)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]编辑

阶段一：基础入门

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sRoDZu4K-1677167179814)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

网络安全导论

渗透测试基础

网络基础

操作系统基础

Web安全基础

数据库基础

编程基础

CTF基础

该阶段学完即可年薪15w+

阶段二：技术进阶（到了这一步你才算入门）

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-il25GFVz-1677167179815)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

弱口令与口令爆破

XSS漏洞

CSRF漏洞

SSRF漏洞

XXE漏洞

SQL注入

任意文件操作漏洞

业务逻辑漏洞

该阶段学完年薪25w+

阶段三：高阶提升

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ITOSD3Gz-1677167179816)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

反序列化漏洞

RCE

综合靶场实操项目

内网渗透

流量分析

日志分析

恶意代码分析

应急响应

实战训练

该阶段学完即可年薪30w+

阶段四：蓝队课程

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SKCwwld2-1677167179818)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

蓝队基础

蓝队进阶

该部分主攻蓝队的防御，即更容易被大家理解的网络安全工程师。

攻防兼备，年薪收入可以达到40w+

阶段五：面试指南&阶段六：升级内容

需要上述路线图对应的网络安全配套视频、源码以及更多网络安全相关书籍&面试题等内容

< img src=“https://hnxx.oss-cn-shanghai.aliyuncs.com/official/1678694737820.png?t=0.6334725112165747” />

网站渗透测试公司总结心得相关推荐

渗透测试公司对网站文件上传漏洞的安全扫描与检测
撸了今年阿里.头条和美团的面试,我有一个重要发现.......>>> 很多客户网站以及APP在上线运营之前都会对网站进行渗透测试,提前检测网站是否存在漏洞,以及安全隐患,避免因为网站 ...
渗透测试公司谈网站安全评估方法
很多渗透测试公司对当前在各种安全评估方法总体上按不同的划分标准可以分为四种:依据性质划分的安全评估方法.根据威胁量和攻击等级划分的安全评估方法.基于一定模型的安全评估方法.综合安全评估方法.这四类安全 ...
网站安全渗透测试公司的五年经验总结
5年,说长也长,说短也短,以前在A3年,从公司的自建房十多人,到走的那时候,上百人,自主创业不容易,一路上说不出的艰苦,也算记录了一个互联网公司的发展壮大,而且据说听闻发展壮大的也非常好,很有可能快挂 ...
网站渗透测试原理及详细过程
渗透测试实战 site:baidu.com 渗透测试思路 site:baidu.com 带你入门渗透测试的5个项目:https://www.jianshu.com/p/5b82e42ae346 渗透测 ...
网站渗透测试工作三年总结报告
3年,说长也长,说短也短,以前在A3年,从公司的自建房十多人,到走的那时候,上百人,自主创业不容易,一路上说不出的艰苦,也算记录了一个互联网公司的发展壮大,而且据说听闻发展壮大的也非常好,很有可能快挂 ...
网站渗透测试，看这篇就够了
一.信息收集 1.获取域名的whois信息,获取注册者邮箱姓名电话等. 2.查询服务器旁站以及子域名站点,因为主站一般比较难,所以先看看旁站有没有通用性的cms或者其他漏洞. 3.查看服务器操作系统版 ...
WEB网站渗透测试方案
曾经写过的一个方案.拿出来晒晒. 目录: WEB网站渗透测试方案 1 一. Web网站渗透测试概述 1 1.1概述 2 1.2渗透测试对象 3 1.3现场安排 4 二. Web网站渗透测试技术 4 2 ...
网站渗透测试到底怎么入门
从大学毕业的时候开始简单入门,写写网站程序代码,搞搞sql注入以及安全测试,到现在Sinesafe当安全工程师,差不多在安全行业成长了11年,发现不懂得问题随着实战渗透测试中非常多,还是学到老干到老才 ...
低成本网站渗透测试怎么找
从国内企业安全市场需求的角度来看,渗透测试服务也很受欢迎,国内大型安全制造商只有渗透测试单一服务收入超过2亿元.为什么企业会购买渗透测试服务?原因来自渗透测试服务本身的特点:攻击者视角.过程可复制.漏 ...

网站渗透测试公司总结心得