用户
搜索
  • TA的每日心情
    慵懒
    2017-11-2 16:01
  • 签到天数: 25 天

    连续签到: 1 天

    [LV.4]经常看看II

    i春秋-脚本小子

    Rank: 2

    14

    主题

    35

    帖子

    225

    魔法币
    收听
    0
    粉丝
    0
    注册时间
    2016-10-25
    发表于 2017-4-5 11:06:44 5230919
    一直对网络安全的几个行业认识比较模糊,很好奇在网络安全相关的公司工作是一种什么样的体验?

    如果可以,能否顺便详细说下web安全渗透测试等工作上有哪些不一样,学习上都分别注重什么。

    发表于 2017-4-5 16:25:08
    应蛋总邀约,表姐特地百忙之中抽时间过来回答这个问题(快被自己感动了)
    1、在安全相关的公司工作是什么样的体验?
    回答:站在一个妹纸的角度回答这个问题,我只想说,我最大的体验就是

    分分钟怀疑自己性别
    表姐是大四来爱春秋实习的,刚来的时候我是一个涉世未深的单纯萌妹纸,
    刚来的时候部门里面搞技术的就我一个女的,还是最菜的那种
    上班第二天就被安排任务,我记得当时那个技术点是我之前没有接触过得,
    我花了一个星期左右的时间查阅资料学习,然后请教组内的一个大神
    当时期间被大佬提醒要在不影响别人工作的同时向别人请教问题,关于这一点表姐要向职场菜鸟传授 一个经验
    先百度再开口
    先百度再开口
    先百度再开口
    特别是在一个科技互联网公司,周围全是技术宅男的时候,如果你咨询一个只用百度就可以得到的答案的问题,会被拉入黑名单
    反正我现在是养成一个习惯,如果我自己能解决的问题就绝不会麻烦到其他人
    如果实在有自己的解决不了的问题,问同事的话,通常这帮IT男会有以下处理方式:
    方式一:傲娇型-这种问题你也好意思问,自己百度去(通常遇到这类的,表姐都是直接上手打死的)
    方式二:雷利风火型-来,我告诉你怎么做,你让开。。。。(键盘一顿敲击)。。。你看这就不是可以了吗,然后走了,留下怅然若失的我,我这到底是解决了还是没解决问题
    方式三:知心大叔型--如果你在公司遇到这样的同事,说明真的很幸运,因为他们是真的帮你解决问题,他会引导你,你的问题可能来自于哪些情况,给你一个切入点,然后自己去排查,如果还是无法解决,,那么他会和你一起讨论解决问题,最终问题解决,你也学到新技能。
    最后,给广大即将步入安全行业的妹纸一个忠告
    不要轻易选择网络安全
    因为即使是妹纸也当狗使

    一年以前,我还是个
    涉世未深的单纯萌妹纸
    那时候,我还是正常的一个妹纸,至少从气质上可以说明。。。。。
    微信图片_20170405161330.jpg

    一年以后,我所有的拍照风格成了这样的
    轻度神经病---》
    微信图片_20170405161728.jpg

    中度神经病---》
    微信图片_20170405161740.jpg

    无药可救神经病--》
    微信图片_20170405161722.jpg

    还有一点告诫各位安全圈友人,参加大会的时候不要随便在别人的手机上留上你的照片,因为一不小心
    你就会变成一个表情包,呵呵呵呵呵,现在江湖上流传我的表情全部是因为被bycold纯良的外表欺骗,
    然后让他帮忙给拍照,最后已经被做成了一个我不想去回忆的表情了,砸我招牌
    最后,自我介绍一下
    大家好,我是i春秋的颜值扛把子~大表姐


    评分

    参与人数 1魔法币 +50 收起 理由
    yyyxy + 50 鸽子表姐666

    查看全部评分

    使用道具 举报 回复
    本帖最后由 一只软毛兔 于 2017-4-6 18:45 编辑

    谢蛋总相邀

    仅代表在网络安全公司里工作的非技术人员来回答一下这个问题
    首先我是市场部,的新媒体汪, i春秋学院(icqedu)公众号现在就是我在运营
    我们总监给我们部起了一个响当当的英文名:MAD(Make Amazing-brand Department)
    所以每次别的部门跟我们打招呼画风都是这样的:嗨,你是“吗的”部的呀!
    106.jpg

    先不说名字了,刚来公司的时候因为对网络安全的范畴不是很熟悉,连一些信息安全的专有名词都不懂,挨了不少骂




    所以知道了第一点就是:凡是不懂的,无论是一段话还是一个缩略词,全都要去查资料弄清楚,至少要知道基本原理
    后来熟悉了一圈,就有些惯性想法:
    ”欸?最近又爆出一个漏洞了,这个漏洞什么类型咋回事,啥原理,什么危害呀,影响范围多大,我司能蹭个热点吗?“
    ”这篇技术稿还不错,但是内容太敏感了,算了pass吧,好可惜...”
    ”这个技术大咖又更新公众号了,我要第一时间去看看,(也不知道能不能找他投个稿...”
    ”这个小伙伴的技术文章很厉害啊,也不知道多大了,在哪家公司,有没有看i春秋的课程,能不能找他投个稿...“
    ”咦?这是哪家的运营妹子,好漂酿,啊不对,我想的是不知道能不能合作一下,我要去勾搭!“

    ......




    总之慢慢成了安全圈的广告狗,认识了不少技术牛、运营小编和很多活跃在安全圈的白帽子们
    都是一群非常非常可爱的人,根本不像大家眼中的技术宅,他们幽默有趣,智商情商双高的人,搞技术时静若处子,动若疯兔,二X起来哈士奇都拉不住他们...
    140.jpg


    到后来,公众号、论坛里的技术类文章和安全资讯看得多了,现在有些技术稿居然能看懂个大概
    虽然深入一些的技术我还是唔知,但是看稿子的时候我已经能大概判断讲的是哪个方向、什么类型、文章价值如何了
    对比纯新媒体来说,算是半个安全圈人吧。



    最后关于打扮这点,从此再也不用操心!因为做网络安全的同事们全都一心扑在工作,根 本 看 不 出 来!!
    入圈之前穿衣打扮我还会注意紧跟当季潮流!做一个时尚时尚最时尚的fashion queen
    现在一个季节两套衣服换着穿就行,因为根 本 没 啥 人 看!


    不过还好我腿长,就算穿T恤和牛仔裤也能看得过去。嗯。

    论坛回答,插图.jpg


    想揍我来排队呀。略略略。









    评分

    参与人数 1魔法币 +100 收起 理由
    yyyxy + 100 美腿好评

    查看全部评分

    使用道具 举报 回复
    发表于 2017-4-5 14:24:11
    本帖最后由 yangwen 于 2017-4-5 14:49 编辑

    wbe安全这方面工作应该是在甲方吧,没体验过。
    我目前在乙方的一个渗透测试职位。
    工作体验方面,我可以很负责任的告诉你,做渗透测试很烦。
    1.甲方提要求,乙方满足要求。 一下子就是被牵着鼻子走的感觉,有没有。

    2.对于一个像我这样有上进心的人来讲,甲方给你授权之后,你并没有挖到什么洞,是不是很操蛋?
       我在测试某集团官网时,加上其分公司域名一共五六个站左右吧。那个公司主推app,所以网站上基本上就是html页面组成,于是XSS sql注入 就很难找了,几乎没有。剩下的从IP、更多的二级域名等等各种手段各种试啊。试了一个礼拜才发现几个低危,我当时感觉,我好像是个废柴。

    3.乙方渗透测试要比甲方web安全难得多,web安全工程师是会的多,精的少。渗透测试是精的多,会的少。像甲方安全工程师一般语言是必须的还有Windows Linux操作系统的维护,交换机,各种服务器部署,整个公司网络业务的部署等等。乙方渗透测试只要把渗透思路和漏洞搞精就差不多了。
       之前我也在一家小公司做过安全,在那个公司里,人员的电脑断网了要找我,人员的电脑卡了要找我,公司网络卡了出故障了要找我,服务器被黑了要找我,服务器要打补丁要找我,服务器迁移要找我,部署企业级路由要找我,cdn、安全防护要找我,搭建一个局域网环境要找我,我都快烦透了好么。可能是公司的原因,涉及到网络的方面就我一个人负责。大公司的web安全工程师不知道是啥样哦。
       现在在的这家公司虽说天天日站有点烦,但是在这个公司的气氛特别好,一个漏洞有几个人一起交流,日个站有个问题几个人一起讨论,这点我还是比较喜欢的。ps:有兴趣找这方面工作的小伙伴来联系我哦

    我也是把渗透测试从兴趣走到工作,我越来越喜欢拿到shell的那种自豪感。我越来越喜欢收到甲方感谢的那种欣慰感。

    说到这,我现在还是一个小菜鸟,呆的也只是小公司,看到这个题目忍不住唠叨了,见谅。

    使用道具 举报 回复
    发表于 2017-4-6 14:45:30
    谢邀!前边各位大牛从本职讲了安全工作体验,无论甲方,乙方,都都让我受益匪浅。我本职不是从事安全相关工作,而是管理工作。渗透测试纯属业余爱好(只是这个爱好几乎占据了我所有的业余时间)。所以就谈下我的经历吧,文不对题,全当消遣。我从10年开始接触网络安全,和很多人一样,刚开始就是醉心于盗q,木马什么的,后来一直看《黑客x档案》,接触了web安全,就想着什么时候自己也能发表以前在《黑客X档案上》,终于在12年的时候发表了一篇关于asp代码审计的文章,然后……然后《黑客x档案》就停刊了……但我似乎找到了方向,开始修炼基本功,网页制作,vb,c语言(大学课程),网络,数据库等,再不时加以实战,技术提高很快。记得一次考试让给他女儿刷票,就简单写个重复提交数据包的脚本,结果吃个饭回来高出第二名2000多票,肯定不行,没办法又想法设法麻烦了webshll修改数据库,你看,技术就是这么提高的。但之前都是自己研究,偶尔泡泡论坛,13年加入的乌云,又开启了我的新世界,原来这世界上还有这么多大神,而且乐于分享,不吝赐教,妈妈经常问我为什么跪着看电脑,第一次觉得和大神们的距离如此接近,我需要学习的路线更加明确了,python,php,数据处理等,也开始在各种第三方平台提交漏洞,成就感自不必提,这时也有些自己的东西可以和大家分享,这也是我现在一直在做的,这世界上那么多大牛无论在github还是其他地方分享着那么多有趣的东西,我们有什么理由不学习呢。总之一句话,不要怂,就是干!
    使用道具 举报 回复
    甲方我是14年去的第一家,最早以前是盗QQ,玩木马,上兴远控什么的,然后开始学了点运维的东西,本身一个创业公司,什么事情都是亲历而为,小到桌面运维,交换机配置,大到架构,很杂很乱,说实话,。
    乙方然后出来去乙方,也就是I春秋,学到了很多,说实话成长很快,也接触了很多大佬,渗透的能力往往是你的思度,用猪猪侠的一句话,
    • 知识⾯面,决定看到的攻击⾯面有多⼴广。
    • 知识链,决定发动的杀伤链有多深。

    甲方接着继续甲方,角色从渗透测试变成了安全工程师,一个甲方需要的不单单是你会挖洞,你的协作能力,要会写方案,安全体系建设,每一步如何做,了解风控,了解业务风险点,开始写专利,研究区块链安全,研究协议。做功能测试,数据库/主机的安全加固,防火墙策略的优化,员工安全意识的培训,你能想到安全相关都能让你做。
    乙方创业公司写渗透测试,写报告,写软文,做品牌,做培训。谈项目,谈合作。创业公司很锻炼人
    别想不开去做安全没事别想不开去做安全,既要懂协议,懂开发,懂运维,还得搞安全。调的了路由,修得了电脑。改得了代码。写得了方案。
    今年入坑第四年
    打个小广告,提供各种安全服务,欢迎私信

    同样是一个B,往北走是NB,往南走就是SB,所以人生的方向很重要!
    使用道具 举报 回复
    jing0102 版主 知识面,决定看到的攻击面 秦 i春秋签约作者
    推荐
    发表于 2017-4-5 14:50:18
    没干过WEB安全,所以就不说了,咱们来说说渗透测试。

    在咱们这行渗透测试可以说是还是比较不错的。但是我认识的一位前辈说的话很好:渗透测试报告往往比你做渗透测试还TM烦,头疼。

    给你来一张我改了又改的报告:
    QQ截图20170405144546.jpg

    但我每次看到这些报告,我都会感到充实感~而且在做测试的时候也会感到满足和快乐。(别人都说,手握鼠标的我,跟手里什么都没有的我完全是天上地下的区别)

    好,咱们来说说怎么修炼这条路吧,给你几个建议:PHP、Python、OWASP TOP 10、常用扫描器
    修炼个半年 然后在实战测试个 半年,差不多了,贵在坚持。
    www.ichunqiu.com 里有很多视频教学 很不错,当你研究到一定的时候,你会找到一条"知识"路。

    就业后可以看的如下:
    渗透测试的标准:
    http://www.pentest-standard.org/index.php/Post_Exploitation
    http://www.isecom.org/research/osstmm.html
    https://www.owasp.org/index.php/Main_Page

    gh0stkey,米斯特安全团队核心。
    i春秋社区核心成员之一。
    关注米斯特安全团队(MstLab):www.hi-ourlife.com
    使用道具 举报 回复
    发表于 2017-4-5 11:28:06
    web安全里,分渗透测试and代码审计       一个是偏向黑盒测试,一个是白盒测试        黑盒测试注重的是基本功与思路      代码审计要求有非常强的代码能力与思维能力         当二者你都熟练掌握的时候,那么,大牛,请收下我的膝盖
    使用道具 举报 回复
    安全:偏防守,以渗透者的角度去测试系统的健壮性,加强防护。安全的话无论哪个漏洞,无论漏洞大小都尽力去修复它。

    渗透:偏攻击,主要渗透系统,拿到shell,然后写报告。渗透也许只要利用一个漏洞就可以拿到站。

    举个小例子,如上传文件漏洞,
    安全角度的话,web层应做白名单、web目录分离、路径屏蔽等
    渗透的角度的话,上传木马,要成功连接木马,提权,直到拿到系统权限。

    以上纯属个人理解,纯属胡说八道。

    使用道具 举报 回复
    发表于 2017-4-5 12:07:48
    安全偏向防守吧,但是肯定要会主流攻击方式,不然怎么防守,渗透测试的基本方式搞安全的肯定是要懂得,另外就像sqler师傅说的,测试有黑盒和白盒,白盒是代码审计一类,一般用于cms漏洞挖掘和企业级web应用源代码审计;其实没有严格的分界,攻击和防守都应该掌握
    http://blog.163.com/sy_butian/欢迎交流
    使用道具 举报 回复
    发表于 2017-4-5 12:36:15
    sqler 发表于 2017-4-5 11:28
    web安全里,分渗透测试and代码审计       一个是偏向黑盒测试,一个是白盒测试        黑盒测试注重的是基 ...

    那在web安全以外还有哪些是网络安全相关工作?哪些现在比较流行?
    使用道具 举报 回复
    发表于 2017-4-5 12:41:30
    zhusilun 发表于 2017-4-5 11:33
    安全:偏防守,以渗透者的角度去测试系统的健壮性,加强防护。安全的话无论哪个漏洞,无论漏洞大小都尽力去 ...

    一般公司招聘对新手有什么技术要求?
    使用道具 举报 回复
    发表于 2017-4-5 12:44:26
    感谢各位大牛
    使用道具 举报 回复
    发表于 2017-4-5 13:32:23
    江小生 发表于 2017-4-5 12:41
    一般公司招聘对新手有什么技术要求?

    这个你去搜招聘网的公司的招聘要求就行了,大把
    使用道具 举报 回复
    发表于 2017-4-5 14:42:05
    回答一下标题在网络安全相关的公司工作是种什么样的体验?
    我司是个奇葩。我们组6个人四个在北京,一个在上海,组长在武汉,除了年会全部视频。QQ、teamview、瞩目都试过,表示最受尊敬的公司的QQ不花钱还能获得不错体验的,给个赞。再过一个月我旁边这哥们儿也要去武汉了(湖北人,回老家结婚),嗯,又多了一个开会靠吼的人。
    上班时间理论上9点到9点半,我们组其他人似乎没有9点半之前来过,今天最早,大概9点31到的。我自己最开始都是9点到的,后来也堕落了,55555.。。。
    跨部门调动也随意,对面不嫌人多,自己这儿人不缺,打个报告就能调。
    总之干活很随意,一般类似网络安全这种技术导向的公司都比较随意,内部氛围很融洽。薪资福利什么的见仁见智了。
    对了,公司今天又开始招人了。android逆向、渗透测试,或者密码学、嵌入式安全、认知安全、大数据的都可以私信我
    请叫我加固工程师
    http://penguin-wenyang.wang
    使用道具 举报 回复
    yyyxy 管理员 六国战旗移动展示平台! 秦 楚 燕 魏 齐 赵
    10#
    发表于 2017-4-5 14:46:46
    penguin_wwy 发表于 2017-4-5 14:42
    回答一下标题在网络安全相关的公司工作是种什么样的体验?
    我司是个奇葩。我们组6个人四个在北京,一个在上 ...

    你还能顺便打个招聘广告。。厉害了
    欢迎加入i春秋QQ群大家庭,每人只能任选加入一个群哦!投稿请加我QQ:286894635。
    i春秋-楚:533191896
    i春秋-燕:129821314
    i春秋-齐:417360103
    i春秋-秦:262108018
    使用道具 举报 回复
    发表于 2017-4-5 14:56:43
    yangwen 发表于 2017-4-5 14:24
    wbe安全这方面工作应该是在甲方吧,没体验过。
    我目前在乙方的一个渗透测试职位。
    工作体验方面,我可以很 ...

    请问贵公司招实习生吗?
    使用道具 举报 回复
    发表于 2017-4-5 14:57:53
    yangwen 发表于 2017-4-5 14:24
    wbe安全这方面工作应该是在甲方吧,没体验过。
    我目前在乙方的一个渗透测试职位。
    工作体验方面,我可以很 ...

    对于一个像我这样有上进心的人来讲,甲方给你授权之后,你并没有挖到什么洞,是不是很操蛋?
       我在测试某集团官网时,加上其分公司域名一共五六个站左右吧。那个公司主推app,所以网站上基本上就是html页面组成,于是XSS sql注入 就很难找了,几乎没有。剩下的从IP、更多的二级域名等等各种手段各种试啊。试了一个礼拜才发现几个低危,我当时感觉,我好像是个废柴。

    这个是深有同感的
    使用道具 举报 回复
    发表于 2017-4-5 14:57:57
    sky666888 发表于 2017-4-5 14:56
    请问贵公司招实习生吗?

    加我QQ聊下  1076140307
    使用道具 举报 回复
    1234下一页
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册