现在网站越来越难渗透了,渗透测试这个方向还有前途吗?
106 个回答
为什么用网上下载的工具很难扫描出安全问题了?因为你能下载别人也能下载。企业的安全部门里但凡只要有一个会用这些工具的人,就能自己把这些问题找出来,剩不到你手上。
十年前,很多企业的安全做的还很差,甚至没有网络安全部门,所以下载个工具扫一扫还能发现不少问题。现在一方面是企业自身安全能力提高了,另一方面网站开发者的安全能力也提高了。所以如果你只会用十年前的工具扫一扫,在今天自然会觉得很吃力。
然而,二十年前,随便找个工具扫一扫还可以发现很多远程管理弱口令、远程溢出漏洞。那么二十年前那些搞渗透测试的,在发现这些扫出来直接就能拿 root shell 的漏洞逐渐消失后是不是也很绝望?不是的。他们开始研究注入,研究 XSS,研究 CSRF,研究反序列化。所以他们才写出了你现在从网上下载的那些工具。
二进制安全也一样。二十年前的漏洞挖掘和利用都无比简单。二十年来,漏洞越来越难发现,越来越难利用。但二进制安全这个技术方向消失了吗?不但没有,而且发展越来越好。
对出身于普通家庭的人来说,工作有难度有门槛是好事。如果一个工作不难,那通常也不挣钱。如果又不难又还能挣钱,那人家为什么要让你来做的呢?找自己的堂侄表弟小舅子不好吗?
哈哈,搞web安全的人终于遇到了这个问题了!
其实这个问题,二进制安全方向早十年就遇到了。
2000年代,那个时候真是搞二进制漏洞的黄金年代,栈溢出漏洞到处都是,那时候操作系统安全机制又薄弱,程序加载基址还是固定的,一个exploit就能大杀四方!
但是进入2010年代,情况还是不一样了,栈保护GS、ASLR、DEP、CFG、RFG等安全机制相继问世,再加上编译器的安全校验机制,让漏洞利用变得越来越难越来越难。
二进制安全的门槛变高了,原来那波只会搞搞栈溢出级别的被挡在门外。
Web安全其实是重复了这个故事。
2010年代,网络上大量的ASP、PHP、JSP网站,SQL注入、XSS、CSRF、上传漏洞比比皆是,一个脚本小子学几个招式拿着阿D注入、明小子、菜刀就能拿下网站,然后提个权,挂上webshell,那可牛逼大发了。
但自乌云倒下后,尤其到近几年,各种WAF、IPS、数据库网关安全产品怼上来,再加上后端开发框架安全机制的增强,那些个工具好多都成了摆设,这让一波脚本小子瞬间慌了。
攻击方式早于防御方式出现,必然会赢来短暂的繁荣。而当防御方式跟上以后,落寞也是必然。
安全人,终究不要只沉醉于工具使用上,而要善用工具,通其原理,精研攻防对抗手法,才能推陈出新,从一众小白中脱颖而出,成为真正的白帽子。
-----------------------9.21更-----------------------
分享一套自己多年下来整理到网络安全学习资料,需要的自取:
新入行的朋友自学不容易,我也是这样一路走过来的,轩辕最近制作了一套《从零开始学逆向》的视频教程,通过视频动画理论与实操相结合,带领大家一步一步走入逆向分析的大门,感兴趣的朋友欢迎戳这里了解:
不要讨论安全渗透有没的前途,尤其是web。
答案就一个:
任何行业老司机专家都有前途,不沉浸下来不与时俱进会个皮毛都没前途。
但是就当前安全行业现实而言,本人已经在某厂工作两年后的感受,仅仅个人感受。
二进制逆向,代码审计的岗位很多公司都缺。
虽然二进制学习周期太长,但是会底子扎实学的全面,一分耕耘一分收获不假。
渗透入门简单,好学,但是中低水平的人非常饱和了,毕竟脚本小子一样自学也可以达到的水准。而且,培训班还不如脚本小子,脚本小子还具备自学摸索精神。
找渗透工作其实挺不好找的,很多内推做安服都是很底层的岗位,说几个月就能入行还能拿高薪的那都是培训班的托,想进好一点的单位都是看的是工作和项目经验,每个三五年真能挖什么洞。
大厂里做渗透测试比安全研究还能卷,二进制更有前景,而且也更能做出成绩,至于ctf战队,从来不缺web渗透,现在的 web人太多一抓一大把吃香何谈,想做出成绩更难了,很简单的事情你去挖挖各大厂商的SRC你就懂了。
安全运维的人都比安全渗透吃香。看看各大数据中心和有些运营商的招聘启事就知道。吃饭的时候看看哪个岗位能吹的牛逼更多。
安全行业有条鄙视链你不知道吗?
如果你还没入门,别信那些培训的托,80%说的都是,他们没有能力去开设安全开发,代码审计,二进制的班,所以都在鼓吹渗透这方面有多好,千万别信,付出和回报成正比的。那些培训班的线下课还比不上b站小迪的课,培训完大都没啥水平,混口饭吃罢了,能找个安服工作也不错了。
安全是个坑,啥都往里扔,安全的范围太广,不是只有渗透。
我是渗透入行,现在在做数字鉴证和应急响应。渗透是最好上手玩的,但是随着我工作越久,我越觉得渗透可能并不适合我。
网络安全的领域涉及很多:渗透,安全工程(实施安全项目比如EDR,SIEM),紧急响应(IR),数字鉴证(DF),审计,运维,研究,代码审计,评测。
渗透的红队对于企业来说是HW时候的奢侈品,而蓝队的防护运维可是必需品,自己品。
首先是国内很多大厂对安全渗透岗位需求多,但是需要的是高手有经验的老司机。
再就是现实环境中,有一定安全防护意识的目标的系统都不太可能通过常规工具扫描获得漏洞了,甚至没有已知漏洞。现在更多存在是逻辑管理漏洞,需要更多的是社工和一些非常规直接的技术手段。
而且用人单位是需要真正热爱技术的人,不管是脚本小子还是科班出生,用他们的话说是招值得再培养的人,为什么他们喜欢去好的学校校招,是因为那些学生有好的学习习惯和态度值得企业再培养,任何一个人进新的企业都需要再学习的,不可能直接上手做事,所以似乎对渗透岗位要求很高。
一般去面试安全渗透岗位,面试官主要看你的漏洞提交记录,护网经验等能够证明你具备实操能力的东西。这些都是加分项,这个岗位学历不是很看重,面试官大都都特别喜欢自学成才的脚本小子而且很有匠心情怀专心做技术的。
比如我之前有个朋友,国内名牌的网安本科毕业,自我感觉良好,打过很多次CTF的比赛 但是面试还不是不如其他杂牌学校出来的,因为很多东西都是照本宣科,思维固化了,而且要求待遇高,毕竟学历好。
也不是以偏概全,总之企业对安全渗透,安全运维,开发这些岗位需要的就是很专研精神的纯技术岗位。
随着安全的发展,门槛变高变得正规化已经是必然了,如今新手想要从基础期过渡其实更难了,因为基础资料太多,抄来抄去的,深入的文章却太少。
题主所说的注入点、后台都已经是上个十年的玩法了。可是你去看看各大src,在有专业安全团队的防护下,每个月还是有这么多漏洞,何况那些只靠乙方甚至没有安全工程师的站呢?
一个愿意深入挖src的安全工程师,基本一个月挖洞的收入就能有几千。渗透这个方向还是非常有前途的,甚至比以前更有前途,因为更加正规+国家推动(HW)。只不过,一个合格的安全工程师的下限越来越高了。
附一下我认为的一个合格安全工程师的标准。
1. 对于常规漏洞,原理及深入了然于胸,每个漏洞都亲手挖到过对应实例,并知晓这些漏洞容易在哪些地方出现;有自己的trick,知道一些不常见的戏法。
2. 有自己的安全圈子,能够持续学习较新的tip,了解目前较火热的研究方向。
3. 能够独立挖掘CVE(哪怕是水),能够在各大src持续产出漏洞,而不是欺负一些小站。
我完全不这么认为。今天为止,还是大量重要目标被搞定,在一些实战攻防赛事面前,防守方压力特别大。未来对安全的需求就跟若干年前对研发需求一样,安全还刚刚走过幼儿期,进入少年期,远没到壮年。渗透是一个基础的完整性需求,一定时间内只增不减。
回到标题,我觉得两个问题让你陷入了迷茫:为什么渗透测试只覆盖网站?以及这个领域你已经顶尖了吗?
未来渗透测试将是一个知识点极其宽泛的学科,不只是网站,还有网络协议,二进制,无线,数据库,物联网,应用等等等等。
而且,在广度扩展的同时,对每一项的深入度要求也在逐步提升。我相信在大量政策支持的情况下,在学校逐步开展专业学科的情况下,在大量就业岗位准备的情况下,未来的人才会越来越多,竞争会越来越大。以前能搞简单注入黑网站的“大牛”,以后在正规军面前,只会越来越难混。
总结一下:网络安全需求还在快速增长期;网络安全的漏洞随着网络的复杂度增加学会越来越多;未来网络安全对人才的要求会越来越高。所以,提高对自己的要求,提升自己的能力才是唯一的出路。或者转管理吧,看着别人飞起。
安全方向一直都是有前途的,但是门槛极高。
现在的站基本都是用框架搭的,一方面速度快,另一方面不用重复造轮子,很多安全性方面都已经被做好。所以,即便再垃圾的程序员,只要用上框架,网站也不会轻易出问题。
但是用框架带来的问题就是,只要框架被爆0day,那基本日站跟割韭菜一样。
随着安全意识的提高,安全的门槛也在逐步提高,很多小白望而却步。这个也正常。其实真正做的好的都是从开发做起。你只有会做,才能知道有什么问题,这就是所谓的知其然,还要知其所以然。
不过安全方向我是不推荐给新手的。
这个方向。。。。很。。。无解。
社会对安全方向重视程度不够,安全人才奇缺,但是公司却不招安全人才,小公司为了成本会直接砍掉安全部门。
安全分为攻防,没有授权的攻击违法,就不说了。作为防守的一方,你如果没有被黑,那说明你只是在做好日常工作。一旦被突破,你就是不合格了。
但是如果能做好,来钱也是很快的。
不要有当年那种tools boy的想法,现在都更新换代了,而且整个方向也没有之前那么肆无忌惮了,碍于法律层面的东西,都藏起来了,网上能搜到的东西也不多了。我觉得这个职业就像游戏里的高级转生职业。不要妄图一下子就从0开始起步,而是先增强自身基础实力,再转到这个方向上来,你自然就会事半功倍。
有前途,但是成功率太低。
比如说网络安全里渗透测试这块考证其实是个伪命题。
比如说CISP-PTE这个证,英文全称:Certified Information Security Professional - Penetration TestEngineer。是中国信息安全测评中心为了解决国内对信息安全渗透技术人员的迫切亟需,很多机关及企业单位的高技能人才需求,于2016年正式推出这个,这个渗透入侵测试如果也看证跟老中医需要考职称一样的笑话。
很多培训机构都是靠培训了连带考这个证来吸引招生,确实割了很多韭菜,什么人都可以成为渗透大师,不管什么行业基础丢都可以跨行而来,只要读过大专,而且包教包会(当然了给了题库),学习轻松简单,网络安全的工作也不用加班早九晚五,这也是目前网络安全培训圈子的乱象。cisp-pte的证含金量已经越来越不高了,因为行内都做穿了。最便宜见过群里8k不到是考试加培训一起还包过的,本来已经很中国特色的东西又遇到安全行业内卷,这些工程师是不是又要过剩。
本来cisp考证是对考证的工作年限有规定,但是后来对pte放开了,导致都是毕业生新手背题库就过的这个不敢多说了,行内人都懂。
而且现在渗透的门槛低导致了大量的人水平参差不齐,很多培训班打着几个月速成白帽黑客,渗透大师更是天大的笑话。几个月半年能成上手做安服仔就不错了,蓝队防守也是需要时间沉淀的,学不来的。
渗透是门综合的艺术学,目前大部分互联网应用都是居于web的,所以光是web里面,php,java,python,go等几大开发语言逼迫你要能审计,能调试漏洞,还有xss漏洞挖掘,涉及到js,sql注入,涉及到不同的数据库语言,绕过waf,fuzz,更有钓鱼,水坑后的渗透阶段的内网域控,远控免杀,社会工程学等等。还不说涉及到密码破解和二进制逆向,pwn了,所以高手需要很长时间成长,不是几个月可以学成的。
网络安全不光只是web渗透,因为打站门槛低讨论多,给人感觉是脚本小子稍微摸了点门就觉得自己是在做安全了,但是web渗透想做深入一定是懂代码做懂开发,不懂代码去谈安全,就是拿着工具扫扫漏洞,利用现成规则摆弄打点,简直就是耍流氓,这样就是坐等被各种培训班割的韭菜。
很多有组织的渗透工作都是一个或多个团队协作而成,就跟坦克大战,一辆战车一般包括车长、一炮手(炮长)、驾驶员、二炮手(装填手)4名乘员,有的坦克还编有副驾驶员(机电员)一样,大规模的渗透测试工作也是多辆战车协同作战。可惜而知对于只会扫描器扫扫的人是多么难完成的事。
一个拿看职称的渗透测试工程师能精通其中一部分已经很牛了,可惜现在大多数人只能脚本小子那个阶段,浮躁眼高手低只是为了就业挣钱,不能沉下心去研究源码。渗透这个行业合法赚钱的渠道实在不多了,都再说挖洞可以卖钱,但是洞越来越难挖了,这也是需要能力和悟性加运气。
培训机构能培养出懂些渗透的安服工程师就谢天谢地了,千万不要打着培训黑客的噱头了大厂都在裁员 希望安全技术人员不能再浮躁了,不要太在乎证书。
越来越难,是建立在大家安全都做得不错的基础上,这也就说明,大家在安全上都是有一定投入了,说明这个方向值得做。当然你会说,大家都是用云就能解决安全,其实不是,云能解决的只是一小部分,目前还没有那么智能,如果这个都能被替代,那么更多的职业会被先替代,那个时候很多人是可以不用工作也能维持基本生存的。
谢k哥邀。
我现在也在积极入门,并打算以后深入做渗透测试。
所以我尽可能针对题主的问题表达一下我的看法。
第一,常见的渗透测试中,工具始终只是辅助,不管是老牌工具还是最新的工具,只是你渗透测试的一部分,你想用它直接扫到注入点或者后台,很难。更多地还是靠知识体系、经验、熟练度以及自己研究的深度去手工发现漏洞。
第二,我不同意现在的教程内容越来越不适合现在的网络的说法,可能你只是不会去找,先不说网上的各种新资料,就说十多年前那本《黑客攻防技术宝典web实战篇》(中译名),依然是国内外最受欢迎的黑客书籍。
第三,给新手练手的平台很多,不管是SRC还是众测平台,亦或是自己搭建的环境,挖掘漏洞的时候只要不急功近利,都是适合所有人的。
综上,建议题主放平心态,继续学习安全知识,完善自己的体系,并多去实战。漏洞是挖不完的,渗透测试不会有终点。
当然,这里要多一嘴就是国内渗透测试的大环境:其实每天新发现的漏洞远低于程序员新写出来的漏洞,只可惜不是所有的厂商都重视安全并愿意为之投入,造成国内渗透测试,也就是挖洞的形势不那么明朗,因此国内的全职赏金猎人远远低于国外。所以找到一份工作并学习发展是目前最稳妥的办法,前途的事情大可不必担心。
学学软件测试吧。
渗透测试其实也是软件测试的一种。
只是这些年突飞猛进了些。最终还是要回归软件测试行业中。
Hvv除外。
因为越来难做,
才越来越有前途。
潮水退去才知道谁在裸泳。
预警,前方高能,玻璃心的人们请不要继续阅读。
前途这个词一定是针对那些具备了个人竞争力的人们谈的。要是某一个技术很易得和易学,人人都会,叫这帮子人有前途,天理难容,违背了自然规律。换回到本个问题上,使用工具越来越难渗透成功,恰恰让行业里的水货们无法再继续装下去,相反对于那些真正具备技术的人们不应该更有前途了么?
如果你甘心做那些水货中的一员,那你确实就不该入行。这些工具你能下载别人也能下载,单纯的说扫描这件事,除了场景不同,你不觉得跟看大门的老大爷们按下按钮来控制开关门很像么?
我想要告诉那些考虑入行和刚入行的年轻人们,如今随着学习资料的易得和工具的使用,行业的入门门槛在持续降低,这是客观规律。但事情还有另一面,那就是随着互联网的全民化,政府、企业、个人对于网络安全的重视程度也越来越高。再加上人们正在使用计算机技术解决越来越复杂的问题,导致中间的每一个环节都不容有失,促使行业的天花板越来越高。这恰恰给了上进的人们一个机会,只要你能够具备别人不具备的技术,解决一些别人解决不了的问题,前途自己就会找上来的。
生活越来越难了…未来还有活下去的必要吗?
渗透测试方向还是很多前途的。
首先,网站防御越来越高,如果您还是守着那些老旧的工具和技术,当然什么也做不了。以前的网络安全工作者估计像你一样每天上班用工具测试一下网站有没有漏洞存在,适者生存优胜略汰,谁都不会一成不变等着你的,您觉得网站越来越难渗透了,是因为网站的安全性能提高了,而您的技术还是十年前的技术。如果只是用工具简简单单测试一下,但凡会点技术得人都能够胜任这个工作,为什么还要花那么高的价钱请您来呢?虽然这句话不好听,但却是事实。
其次,现在的教程不多,估计是您没有找到渠道吧?十五派信息安全教育已经在信息安全行业成立9年的时间了,我们的学员之所以可以成功入行网络安全行业,就是因为我们的老师不只是按照课程大纲进行教学,而是研究最新的网络安全技术,将技术融入到课程中,让学员接收到的都是当前热门的技术。
最后,现在的渗透测试工程师不是简简单单会使用工具就可以了,需要学习的东西很多,能自己独立写测试工具是最好的了。教程只有你不想找,而不是没有最新的教程。您应该打开您的眼界,一些国内外安全论坛都有相关的技术报告和教程,希望您可以多接触了解一下。你不跟着时代进步你就会被淘汰,如果还想在安全行业分一杯羹,那就努力提升自己吧。