什麼是滲透測試工程師

什麼是滲透測試工程師

滲透測試工程師

是網路安全大方向下網路安全應急與防禦崗的一個細分崗位。

什麼是滲透測試

滲透測試，是為了證明網路防禦按照預期計劃正常執行而提供的一種機制。不妨假設，你的公司定期更新安全策略和程式，時時給系統打補丁，並採用了漏洞掃描器等工具，以確保所有補丁都已打上。如果你早已做到了這些，為什麼還要請外方進行審查或滲透測試呢？因為，滲透測試能夠獨立地檢查你的網路策略，換句話說，就是給你的系統安了一雙眼睛。而且，進行這類測試的，都是尋找網路系統安全漏洞的專業人士。

滲透測試 （penetration test）並沒有一個標準的定義，國外一些安全組織達成共識的通用說法是：滲透測試是透過模擬惡意駭客的攻擊方法，來評估計算機網路系統安全的一種評估方法。這個過程包括對系統的任何弱點、技術缺陷或漏洞的主動分析，這個分析是從一個攻擊者可能存在的位置來進行的，並且從這個位置有條件主動利用安全漏洞。

換句話來說，滲透測試是指滲透人員在不同的位置（比如從內網、從外網等位置）利用各種手段對某個特定網路進行測試，以期發現和挖掘系統中存在的漏洞，然後輸出滲透測試報告，並提交給網路所有者。網路所有者根據滲透人員提供的滲透測試報告，可以清晰知曉系統中存在的安全隱患和問題。

1、

滲透測試工程師

需要具備哪些綜合能力？

——掌握透測試流程及獨立完成透測試工作的能力；

——具備良好的溝通表達，團隊合作能力及邏輯分析能力；

——具備良好的執行力、責任心強，具備較強的自主學習能力；

2、

滲透測試工程師

需要擁有哪些專業知識？

——掌握透測試各階段的主要工作內容；

——掌握主流的身體測試工具應用方法；

——掌握透測試的各項技術能力；

——掌握身體測試報告編寫方法；

——掌握與透測試相關的法律、法規、規章制度；

3、

滲透測試工程師

需要掌握哪些技術技能？

——熟練掌握Java或C/C++語言，具備良好的程式設計能力；

——熟練掌握1-2門指令碼語言，如Python、Powershell、Shell指令碼等；

——掌握常見的漏洞原理、利用以及修補方法（OWASP TOP10）；

——掌握常見透測試的思路及方法；

——掌握常見透測試工具使用方法，如BURP、SQLMAP、NMAP、AWVS等；

——掌握主流的網路 透技術，如資訊蒐集、SQL注入、XSS跨站指令碼攻擊、檔案上傳、反序列化攻擊、SSRF，CSRF、橫向移動、提權等

——瞭解APT攻擊的基本思路與常用方法；

——瞭解網路安全法等國家法律及滲透測試工作必須遵守的規章制度；

——掌握完整滲透測試報告的編制方法；

4、

滲透測試工程師

需要有哪些工程實踐？

——具有完整滲透測試專案的完整經驗。

怎麼成為一名合格的

滲透測試工程師

？

自學是很難成為一名合格滲透測試工程師的，因為知識點涉及的太廣，只有系統的培訓和定向才是關鍵。目前，網盾安全學院講師正在系統講解滲透測試工程師的職業規劃，如果你對就業很迷茫，想從事安全相關行業，網盾安全學院為你推薦擴充套件資料：

網路安全培訓哪家更靠譜？

網盾安全學院能給學員提供最優質的學習路線，並有著高標準的教學硬體設施，滿足實踐教學需求，還原工作真實場景。

網盾與多家大型企業簽訂了網路安全人才培養協議，學員學習考試合格，就業機會多。