一名白帽子的心路历程.pdf

一名白帽子的心路历程 演讲人：Kiven 时间：2019-8 让我走上信息安全行业的契机 小伙子，这个 工作不丢人有 前途！ 老领导的一句话，让我清晰自己的路。 个人简介 目前工作：数据安全解决方案专家 十年IT行业从业经历 信息安全领域爱好者 数据泄露挖掘与防护 系统渗透与防护 目前的一些成绩 某医药企业全网沦陷（2008年） 渗透切入点 威速V2视频会议 ‘=’‘or’ 万能密码登录 上传jsp后门程序，获取服务器权限 某医药企业全网沦陷（2008年） 某医药企业全网沦陷（2008年） 某虚拟化平台80%沦陷（2019） SSLVPN接入系统，渗透入口 某虚拟化平台80%沦陷（2019） 扫描永恒之蓝漏洞，80%服务器存在漏洞 某虚拟化平台80%沦陷（2019） 通过mimizatz可获取系统明文密码，此密码可用于已经打补丁的某些服务器 某虚拟化平台80%沦陷（2019） 包含大量弱口令系统 我的学习历程 Backtrack 是处于世界领 先地位的渗透测试和信 息安全审计发行版 本。有着上百种预先安 装好的工具软件，并确 定能完美运行， Backtrack4 提供了一个 强大的渗透测试平台--从 Web hack的应用程序到 RFID 审查，都可由 Backtrack来完成。 学习安全渗透经典工具 了解空间搜索，接触众测项目 学习经验 学习安全之前，最好能做一些运维工作 网络知识 服务器 应用服务 使用习惯 -网络协议 -权限配置 -web应用 -密码习惯 -交换路由 -账号配置 -邮件系统 -常用软件 -VPN -关键服务 -数据库 -安全意识 -防火墙 -命令行工具 -系统备份 -薄弱位置 学习经验 通过运维经验，判断目标环境情况 小型企业：系统少，漏洞少，默认密码是个宝 中型企业：系统杂，人员少，测试系统找一找 大型企业：高安全，技术好，分部可能不牢靠 学习经验 看书不如看视频，看视频不如问朋友 怎样获取有价值的视频 怎样获取朋友的帮助 加入白帽子安全交流群 关键词：白帽子渗透2019 参加白帽子技术交流大会 查找自己计划中的学习课程 首先分享和帮助别人，可以分享 有条件可以观看英文视频 有一些自制小工具或文章。 学习经验