这个问题怎么讲呢?你是说算是一个公司的合格渗透师,还是你偶心目中的合格渗透师。如果只想去一个网络安全公司做一个合格的渗透师,偶认为你要掌握的技能应当有以下几点:
一、文档排版和写作能力。
不要疑问,偶把这个技能放在了首位。偶见识过很多水平很高的渗透黑客,但是文档写作能力极差,客户已有的漏洞问题讲不清楚,还自以为是的拿个webshell或系统权限就证明了自己厉害,说明了一切问题,但是客户是看不懂的,客户要看的是渗透报告的。再是几乎是所有的黑客,偶看都不会排版出一份让人觉得舒适漂亮的报告文档,都在哪用记事本写,写完需要公司的另一个人去排版。偶以前在北京网络安全公司工作的时候,去和另一家公司竞标,明明对方比大家公司技术实力雄厚,但是凭借着偶做秘书多年的文字功底,还是获得了这份竞标的。
二、具备熟悉各大扫描器的功能和对漏洞名词以及危害的了解
在一个公司做一个渗透师,其实水平不要多高,但是最基本的你要学会使用各大扫描器。像awvs 、Netsparker等的使用,这些扫描器扫客户的网站,基本多多少少都能扫到一些漏洞的,这些扫描器扫到的漏洞会有一些专业的名词也会自动出一份漂亮的报告。但是如何向客户解释这些漏洞的危害,像明明是一个简单几乎是无法利用的的url里的xss漏洞,如何阐明它的危害,让客户重视起来,你起码手头就要准备一个xss漏洞危害的案例了。
三、剩下的其它
如果你按偶第一、第二点去学习了,去网络安全公司混个职位,偶保证你能混一年,但是一年之后你如何?所以剩下的才是偶说的是你偶心目中的合格渗透师了。无论你是如何学习的,但偶想有个基本要求,你总要学会如何才能渗透一个网站的。像web渗透知识、内网渗透知识、编程能力都需要有的。web渗透知识你要达到公司给你20个目标站(包括手机app),能拿到一个网站的权限(或是证明某个漏洞的危害)就算是不错的了。渗透不只有web的,还有很多企业要做内网安全的,所以内网渗透知识也要掌握。编程能力不要求多高,但是你最少要学会如何从大量繁琐的手工操作解脱一下吧?还有某个工具不顺手,学会改造一下吧。如果讲具体的知识,就太多了,无法一一列完,去偶头条号学习吧,学习完了,偶保证你可以达到一个渗透师的水平。
css style属性,button阴影 css,css层叠表原理,css样式虚线间隔,怎么让顶部不动css,css如何调整表单的大小,css引入规则