二、 进阶能力

(一) Web漏洞挖掘

针对 Web 系统或软件的进行漏洞挖掘的能力。

在白帽子挖掘的 Web应用漏洞中,比较常见的漏洞形式包括:命令执行、代码执行、解 析漏洞、XSS、弱口令、文件上传、SQL注入、逻辑漏洞、信息泄露、配置错误、反序列化、 权限绕过等。关于这些漏洞类型的具体含义,参见前述“基础能力”中的“(一)Web漏洞利 用”,这里不再累述。

(二) Web开发与编程

掌握一门或几门的开发与编程语言,是白帽子深入挖掘 Web应用漏洞,分析 Web站点及 业务系统运行机制的重要基础能力。在实战攻防演习中,白帽子最为经常遇到和需要掌握的 编程语言包括:Java、PHP、Python、C/C++、Golang 等。

1) Java

Java 是一种面向对象的计算机编程语言,具有简单性、功能强大、分布式、健壮性、安 全性、平台独立与可移植性、多线程及动态性的特点,经常用于编写桌面应用程序、Web应 用程序、分布式系统和嵌入式系统应用程序等。

2) PHP

PHP原为 Personal Home Page 的缩写,后更名为 Hypertext Preprocessor,但保留了 人们已经习惯的“PHP”的缩写形式。其含义为:超文本预处理器,是一种通用开源脚本语 言。PHP主要适用于 Web开发领域,是在服务器端执行的,常用的脚本语言。PHP独特的语 法混合了 C、Java、Perl 以及 PHP 自创的语法,利于学习,使用广泛。

3) Python

Python 是一种跨平台的计算机程序设计语言, 是一个高层次的,结合了解释性、编译 性、互动性和面向对象的脚本语言。最初被设计用于编写自动化脚本(Shell),随着版本的 不断更新和语言新功能的添加,逐渐被用于独立的、大型项目的开发。

4) C/C++

C/C++是一种通用的编程语言,广泛用于系统软件与应用软件的开发。语言具有高效、 灵活、功能丰富、表达力强和较高的可移植性等特点,在程序设计中备受青睐,是当前使用 最为广泛的编程语言。在 Web开发中常用于嵌入式设备的开发。

5) Golang

Golang 语言,简称 Go语言,是由三位 Google 工程师开发的一种静态强类型、编译型 语言。Go 语言语法与 C 相近,但具有内存安全、垃圾回收、结构形态及 CSP-style 并发 计算等功能。

(三) 编写 PoC或 EXP等利用

PoC,是 Proof of Concept 的缩写,即概念验证,特指为了验证漏洞存在而编写的程序 代码。有时也经常被用来作为 0day、Exploit(漏洞利用)的别名。

EXP,是 Exploit 的缩写,即漏洞利用代码。一般来说,有漏洞不一定就有 EXP,而有 EXP,就肯定有漏洞。

PoC和 EXP的概念仅有细微的差别,前者用于验证,后者则是直接的利用。能够自主编 写 PoC或 EXP,要比直接使用第三方编写的漏洞利用工具或成熟的漏洞利用代码困难的多。 但对于很多没有已知利用代码的漏洞或 0day漏洞,自主编写 PoC或 EXP就显得非常重要了。

此外,针对不同的目标或在不同的系统环境中,编写 PoC或 EXP的难度也不同。针对 Web应用和智能硬件/IoT 设备等,编写 PoC或 EXP相对容易,属于进阶能力;而针对操作系 统或安全设备编写 PoC或 EXP则更加困难,因此属于高阶能力了。

(四) 社工钓鱼

社工钓鱼,是指利用社会工程学手法,利用伪装、欺诈、诱导等方式,利用人的安全意 识不足或安全能力不足,对目标机构特定人群实施网络攻击的一种手段。社工钓鱼,既是实 战攻防演习中经常使用的作战手法,也是黑产团伙或黑客组织最为经常使用的攻击方式。在 很多情况下,“搞人”要比“搞系统”容易得多。

社工钓鱼的方法和手段多种多样。在实战攻防演习中,最为常用,也是最为实用的技能 主要有四种:开源情报收集、社工库收集、鱼叉邮件和社工钓鱼。其中,前面两个都属于情 报收集能力,而后面两个则属于攻防互动能力。

1) 开源情报收集

开源情报收集能力,是指在公开的互联网信息平台上,合法收集针对目标机构的关键情 报信息的能力。例如,新闻媒体、技术社区、企业官网、客户资源平台等公开信息分享平台 都是开源情报收集的重要渠道。白帽子可以通过开源情报收集,获取诸如企业员工内部邮箱、 联系方式、企业架构、供应链名录、产品代码等关键情报信息。这些信息都可以为进一步的 攻击提供支撑。

开源情报收集是白帽子首要的情报收集方式,其关键在于要从海量网络信息中,找到并 筛选出有价值的情报信息组合。通常情况下,单一渠道公开的机构信息,大多没有什么敏感 性和保密性。但如果将不同渠道的多源信息组合起来,就能够形成非常有价值的情报信息。 当然,也不排除某些机构会不慎将内部敏感信息泄露在了互联网平台上。白帽子在互联网平 台上直接找到机构内部开发代码,找到账号密码本的情况也并不少见。

2) 社工库收集

社工库收集能力,是指针对特定目标机构的社工库信息的收集能力。

所谓社工库,通常是指含有大量用户敏感信息的数据库或数据包。这些敏感信息包括但 不限于,如账号、密码、姓名、身份证号、电话号码、人脸信息、指纹信息、行为信息等。 由于这些信息非常有助于攻击方针对特定目标设计有针对性的社会工程学陷阱,因此将这些 信息集合起来的数据包或数据库,就被称为社会工程学库,简称社工库。

社工库是地下黑产或暗网上交易的重要标的物。不过,在实战攻防演习过程中,白帽子 所使用的社工库资源,必须兼顾合法性问题,这就比黑产团伙建立社工库的难度要大得多。

3) 鱼叉邮件

鱼叉邮件能力,是指通过制作和投递鱼叉邮件,实现对机构内部特定人员有效欺骗的一 种社工能力。

鱼叉邮件是针对特定组织机构内部特定人员的定向邮件欺诈行为,目的是窃取机密数据 或系统权限。鱼叉邮件有多种形式,可以将木马程序作为邮件的附件发送给特定的攻击目标, 也可以构造特殊的、有针对性的邮件内容诱使目标人回复或点击钓鱼网站。鱼叉邮件主要针 对的是安全意识或安全能力不足的机构内部员工。不过,某些设计精妙的鱼叉邮件,即便是 经验的安全人员也难以识别。

4) 社交钓鱼

社交钓鱼能力,是指通过社交软件或社交网站与攻击目标内的成员进行沟通交流,骗取 对方信任并借此收集相关情报信息的能力。社交钓鱼,一般建立在使人决断产生认知偏差的 基础上,具体形式包括但不限于:微信、QQ等社交软件/网站的在线聊天、电话钓鱼、短信 钓鱼等。

社工钓鱼,其实也是网络诈骗活动的主要方法,但以往实战攻防演习中还很少被使用。 但随着防守方能力的不断提升,直接进行技术突破的难度越来越大,针对鱼叉邮件也有了很 多比较有效的监测方法,于是近两年,社交钓鱼方法的使用就开始越来越多了。

本文主要学习2020年中国实战化白帽人才能力白皮书进行整理的笔记,如有错误,请随时联系

网络安全高级人才应该具备的安全能力相关推荐

  1. 想入门网络安全?先来看看网络安全行业人才需求!

    如果你是一个想要入门网络安全行业的小白.如果你是网络安全专业在读的大学生.如果你是正在找工作的新手,那么这篇文章你一定要仔细看.毕竟知己知彼百战百胜,知道行业的人才需求才能更好得发挥自己的优势. 当你 ...

  2. 一文解读,网络安全行业人才需求情况

    随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题.网络安全不再缩在小小的安全圈子里,惠及面越来越广.不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快 ...

  3. AI与网络安全的未来:数据集与协同能力

    来源:安全牛 有关 AI 优势与风险的争论如今已成媒体日常,很多此类讨论都集中在潜在负面影响上,话题范围从工作自动化导致广泛失业到 AI 用于创建 "深度伪造" 视频.但另一方面, ...

  4. 字节跳动:高级人才的五个基本素质

    张一鸣早期选拔高级人才的时候,看重的是什么呢?他认为人才越往上走,越看重一些基本的素质: 选择越高级影响越大的人才越要看一些基本素质:理性.逻辑.修养.企图心.自我控制力. 很多时候,最基本的东西,最 ...

  5. 腾讯T1~T9级别工程师具备专业的能力及知识点总结。

    今天给大家分享的是由腾讯内部制定出来的岗位T1-T9级别,具备的专业知识能力技术点,至于知识点掌握的深度就看大家对技术点知识点理解的程度,个人而言知识点理解的程度跟你定位的级别是有很大的关系. 这几点 ...

  6. NISP和CISP网络安全高级运维工程师需要掌握的应急响应有什么方向

    网络安全高级运维工程师应急响应都需要学习什么 1. 掌握应急响应六阶段方法 2. 掌握Linux应急响应方法 3. 掌握Windows应急响应方法 4. 掌握各类应急响应工具的使用 5.具有高级安全运 ...

  7. 职场篇—从网络安全行业人才需求讲个人规划

    如果你是一名正在找工作的网络安全方向大学生,或者是刚刚踏入网络安全领域的新手,这篇文章很适合你,如果你是一名老网安人,看看有哪些你中招了. 当你打开BOSS直聘.拉钩等招聘类网站后,在首页的快速导航页 ...

  8. 近期活动盘点:2019第六届世界互联网大会、面向智慧城市的人本尺度城市形态:理论方法与实践讲座、高级管理人员AI大数据能力研修班...

    想知道近期有什么最新活动?大数点为你整理的近期活动信息在此 2019第六届世界互联网大会•数字经济产业合作系列活动 2019年10月19日-10月20日 2018年,我国GDP超过90万亿元,全国互联 ...

  9. 报名 | 高级管理人员AI大数据能力研修班

    高级管理人员AI大数据能力研修班 招生简章 立项号:1925610893 主办单位:清华大学继续教育学院 一.  项目背景 大数据是第四次产业革命的核心,物联网.人工智能.5G通信.区块链.数字城市等 ...

最新文章

  1. Raspberry Pi 软件源
  2. jsonp解决ajax跨域问题,用JSONP解决ajax跨域问题
  3. python ddos攻击脚本_python版本DDOS攻击脚本
  4. 单处理机系统的进程调度动态优先_操作系统复习笔记(王道)C2.1
  5. 基本矩阵的基本解法之8点算法
  6. 基于深度学习的单目人体姿态估计方法综述(一)
  7. Linux常用命令大全 阶段性总结(一)
  8. 前沿科技-混合现实(MR)远程协作辅助工具:微缩虚拟形象Mini-Me
  9. psp模拟器完美字库_安卓PSP模拟器评测:假面骑士超巅峰英雄
  10. html鼠标经过状态,HTML5 - 让Canvas内部元素实现鼠标移入、移出效果(Tooltip提示效果)...
  11. ASP.NET处理管道之防盗链
  12. 关于个人目标的一篇博客
  13. pdf编辑软件哪个好用?这个办法值得一试
  14. 海康大华安防网络摄像头Onvif、RTSP网络无插件直播流媒体服务解决方案EasyNVR表单重复提交的优化方案
  15. 移动技术开创互联网奇迹
  16. MathType不能正常右对齐解决方法
  17. 麻将胡牌算法带癞子 python实现
  18. 从零开始搭建oj(ubuntu)
  19. 浏览器打不开网页(电脑有网)
  20. 市面上主流源表软件全面对比,总有一款适合你!

热门文章

  1. catkin创建workspace
  2. yaf安装php.ini没效果,Yaf配置多模块不起作用,求助
  3. 在“He3 Minecraft”中自由发挥打造专属工具
  4. 郑州挺住!计算机视觉“为“雨绸缪(附溺水检测论文)
  5. JFrame setLayout(new GridLayout(行数,列数,行间距,列间距));
  6. 2D Player脚本
  7. Marching Cubes算法
  8. 蜡笔小新之父臼井仪人的真实相貌
  9. 如何计算维吉尼亚密码?Java实现维吉尼亚密码的加密解密算法
  10. React context 、PropTypes