跳转至

从全职安全测试人员角度看 owasp shepherd

任何一项知识的学习,可能都会涉及到 入门、"精通"、困惑、持续学习、豁然开朗...

安全测试更应该是这样一项知识

当理解SQL注入后,可能就已经入门,当我们找到几个SQL注入点,发现基本就"精通"了
但当我真正的以owasp shepherd去不断的挑战SQL相关的题时,发现很多时候自己又那么的弱小,即使看到了答案可能都不理解
一个知识点深究起来,可能真的是深不见底, 每个人都是在修行,在不断的提高

符合性

由于经历的不同,一个人很难接触到更多的安全漏洞场景,因此安全测试能力得不到阶梯性的提升,而owasp shepherd设置了不同难度等级的漏洞场景,可以帮助全职测试人员通过真实场景,不断提高自身技能
从这点来说,该套练习是非常有帮助的

  • 黑盒盲测
    仅根据题意,通过操作获得通关密钥

  • 白盒审计
    owasp shepherd是一套java开源程序,对于任何题可以找到对应的源代码,查看漏洞的具体实现,对于代码审计也是非常有帮助的

  • 灰盒测试
    通过源代码也无法看明白,可以查看owasp shepherd提供的提示信息,再次研究和学习

局限性

owasp shepherd毕竟只是一套漏洞练习题, 对于专业测试人员来说,是有局限性的

  • 能够涵盖的漏洞类型毕竟有限

  • 移动安全例子比较弱

专业人员要不断的扩宽自己的知识面,才能胜任各种场景的测试,尽可能多得找到各种漏洞

未来性

更希望将安全理解成XXX的一个基本属性, 比如运维安全、开发安全、网络安全 ,都是在理解XXX的基础上找到安全问题,或者说能够熟悉XXX的基础上更容易找到安全问题
所以全职安全测试人员需要的技能非常的多,确实是需要不断学习

学习资料

burpsuite 安全学院

owasp 资源社区

owasp 移动安全top 10

owasp 移动安全测试标准

owasp 移动安全测试向导

owasp 项目列表

appsec wiki

Back to top