信息安全人员的知识体系和所需技能

信息安全人员的知识体系和所需技能密级：无李顺达20121210目录职业规划人生目标学习方法介绍知识体系软件工程简介网站测试需要什么？测试流程测试技巧工具汇总常见问题参考书目职业规划人生目标你喜欢什么职业，将来想做什么。。。（经理、局长、贪污犯）没有兴趣就没有学习的动力为你的目标而学习和奋斗（成功需要付出）追寻是一种快乐经验和能力的成长更是一种快乐结婚生子后时间会更紧，要学会充分利用资源人生目标是什么？（金钱、权利、移民）学好一门学科的必要条件1、熟悉基本概念（如什么是信息安全、什么是非对称加密）2、掌握相互之间的联系（如SSL是怎么利用密码学、对称和非对称加密、hash等来保证通信的安全性的）3、懂得限制条件（SSL和IPSec区别是什么，各用在什么地方）什么叫知识体系？？？你的答案是什么？就是把你学过得东西按单元分将本单元内容用大括号将主要内容列出，自己思考，找寻内容之间的联系最后连成一个网（百度）软件里面的体系结构（确定各个组成部分、以及相互之间的关系）信息安全的定义多学科交叉（计算机、通信、数学、物理、法律、管理等）保证信息的机密性（confidentiality）、完整性（integrity）、可用性（availability）、可审计性人才紧缺、大公司对信息安全颇为重视门槛较高、高级人才很少软件工程最早以为是怎么写代码实际上：如何以科学的方法开发优质的软件；是在无数次失败和巨大损失的背景下，优秀的软件开发单位的经验总结其定义了主要的阶段：需求、概要设计、详细设计、编码、测试、项目移交、验收测试以及在每个阶段所从事的主要活动：如怎么获取需求、分析需求、定义需求、编写需求规约等软件工程是优秀软件开发的必要条件，其中很多思想值得借鉴和学习信息安全的知识体系注册信息安全专业人员（CISP）知识体系结构信息安全技术信息安全管理信息安全工程信息安全体系模型信息安全标准和法律法规信息安全管理概述应用安全系统安全电信和网络安全物理安全访问控制系统密码技术和应用审计和监控安全攻防技术应用安全系统安全电信和网络安全物理安全访问控制系统密码技术和应用审计和监控安全攻防技术组织保障人员管理风险评估业务持续性和灾难恢复事件响应信息安全规划应用和系统开发运行管理安全工程过程和实践项目管理过程和实践安全工程基础如何学好WebApp测试理解相关知识：什么是WebAppWebApp有什么特点不同的开发语言的利弊是什么后台用来做什么手工测试从哪里开始，哪些地方需要注意怎么快速定位输入点与后台的关系SQL注入、XSS的利用怎么拿下整个网站工欲善其事必先利其器（掌握工具）这些知识怎么联系？联系起来就是测试流程测试流程信息搜集阶段（包括端口信息、系统信息、网络拓扑、社工）网站功能解析阶段（这个网站主要做什么、类似的网站有什么漏洞）网页分析阶段（看HTTP响应、确定编码规范、获取信息泄露）确定测试点和输入点（会话管理方式、是否与数据库交互、后台命令注入、是否提交的内容会返回到客户端等等）选择性输入测试数据，分析服务器的响应，并根据返回信息变换输入，迭代测试汇总测试到的信息，扩大战果阶段（如利用SQL注入读取后台帐户信息，从而进入后台，上传木马，获得webshell，并提权，逐步完全控制目标机器等等；视测试类型而定；其中可能需要一台外网的机器）梳理问题，编写测试报告阶段总结和提升阶段（一个人因为进步而获得工作的快乐）测试细节连续注册至少两个用户，用户名相同或相似，执行同样的测试路程，分析用户标识的区别，命名的区别，cookie的区别被测试的系统要存档，用httrack每个网页的所有输入参数都要测试，包括xss和SQL注入，否则会有遗漏。因为有些内容可能来自开源的项目。用工具网站首页的html代码要保存，包括js和css确定被测系统的真正开发商，google有无已知漏洞确定被测系统的代码命名方式确定密码字段是否有自动完成功能确定cookie是否设置了httponlyhttp中的referer也要测试优化测试流程（经验的累积）识别哪些是重复性的工作（确定SQL注入点、XSS输入点、获取网站地图）充分发挥工具的特长（快、替代重复劳动）工具测试有误报精选测试工具（首选国外，先驱和大牛）人工测试可以根据参数名称快速定位测试类型（精确打击）人工测试必不可少，因为机器很多问题测不出来，发现业务逻辑错误，发现预留的后门每次的测试应该有创新，才能感受测试的乐趣，否则就变成枯燥无味的穷举输入经验不断的积累，测试能力不断提高测试技巧之XSSScRiPt“ScRiPt%3cScRiPt%253cScRiPt%00ScRiPtScRiPtScScRiPtRiPtimgsrc=“”onerr=“……”事件注入屏蔽了单引号就alert(/xss/)测试技巧之SQL注入拼凑单引号找动态网页googlesite:foo.comfiletype:jspAnd‘a’=‘a’而不是and1=1True和false语句返回的结果不同不返回SQL错误语句信息，盲注，只能用工具数据库的delay函数其它待发掘工具汇总（必先利其器）Burp（高度集成的测试工具）Wikto（探索隐秘资源）WVS（WebVulnerabilityScan）最好的网站检测工具Cain（可以嗅探，网络欺骗，破解加密口令等，功能强大）Httprint（确定服务器种类）HTTrack（网站复制）Google高级语法SQLMapSQLiX一台公网的服务器，最好在国外FirefoxfirebugJDK和Eclipse（因为很多时候要写程序）Editplus修改网页源码常见问题信息安全的内容很多，学科交叉，入门较难如何提高，在交流与自学中进步为什么感觉没有问题，因为不知道去问什么、做什么理论与实践并重，多动手工作应该有快感，而且应该能感觉到自己的进步可以任意祸害的网址：参考书目不求多，不看国人写的，书价不要低于80；先有整体的了解，再根据自己的喜好或弱点，强化特定领域OWASP网站谢谢Q&A