你認(rèn)為具備什么技能和水平才算是合格的滲透測(cè)試工程師？

這個(gè)問題怎么講呢？你是說算是一個(gè)公司的合格滲透師，還是你我心目中的合格滲透師。如果只想去一個(gè)網(wǎng)絡(luò)安全公司做一個(gè)合格的滲透師，我認(rèn)為你要掌握的技能應(yīng)當(dāng)有以下幾點(diǎn)：

一、文檔排版和寫作能力。

不要疑問，我把這個(gè)技能放在了首位。我見識(shí)過很多水平很高的滲透黑客，但是文檔寫作能力極差，客戶已有的漏洞問題講不清楚，還自以為是的拿個(gè)webshell或系統(tǒng)權(quán)限就證明了自己厲害，說明了一切問題，但是客戶是看不懂的，客戶要看的是滲透報(bào)告的。再是幾乎是所有的黑客，我看都不會(huì)排版出一份讓人覺得舒適漂亮的報(bào)告文檔，都在哪用記事本寫，寫完需要公司的另一個(gè)人去排版。我以前在北京網(wǎng)絡(luò)安全公司工作的時(shí)候，去和另一家公司競(jìng)標(biāo)，明明對(duì)方比我們公司技術(shù)實(shí)力雄厚，但是憑借著我做秘書多年的文字功底，還是獲得了這份競(jìng)標(biāo)的。

二、具備熟悉各大掃描器的功能和對(duì)漏洞名詞以及危害的了解

在一個(gè)公司做一個(gè)滲透師，其實(shí)水平不要多高，但是最基本的你要學(xué)會(huì)使用各大掃描器。像awvs 、Netsparker等的使用，這些掃描器掃客戶的網(wǎng)站，基本多多少少都能掃到一些漏洞的，這些掃描器掃到的漏洞會(huì)有一些專業(yè)的名詞也會(huì)自動(dòng)出一份漂亮的報(bào)告。但是如何向客戶解釋這些漏洞的危害，像明明是一個(gè)簡(jiǎn)單幾乎是無法利用的的url里的xss漏洞，如何闡明它的危害，讓客戶重視起來，你起碼手頭就要準(zhǔn)備一個(gè)xss漏洞危害的案例了。

三、剩下的其它

如果你按我第一、第二點(diǎn)去學(xué)習(xí)了，去網(wǎng)絡(luò)安全公司混個(gè)職位，我保證你能混一年，但是一年之后你如何？所以剩下的才是我說的是你我心目中的合格滲透師了。無論你是如何學(xué)習(xí)的，但我想有個(gè)基本要求，你總要學(xué)會(huì)如何才能滲透一個(gè)網(wǎng)站的。像web滲透知識(shí)、內(nèi)網(wǎng)滲透知識(shí)、https://www.52fb.cn能力都需要有的。web滲透知識(shí)你要達(dá)到公司給你20個(gè)目標(biāo)站（包括手機(jī)app），能拿到一個(gè)網(wǎng)站的權(quán)限（或是證明某個(gè)漏洞的危害）就算是不錯(cuò)的了。滲透不只有web的，還有很多企業(yè)要做內(nèi)網(wǎng)安全的，所以內(nèi)網(wǎng)滲透知識(shí)也要掌握。https://www.52fb.cn能力不要求多高，但是你最少要學(xué)會(huì)如何從大量繁瑣的手工操作解脫一下吧？還有某個(gè)工具不順手，學(xué)會(huì)改造一下吧。如果講具體的知識(shí)，就太多了，無法一一列完，去我頭條號(hào)學(xué)習(xí)吧，學(xué)習(xí)完了，我保證你可以達(dá)到一個(gè)滲透師的水平。