滲透測試，是專業(yè)安全人員為找出系統(tǒng)中的漏洞而進(jìn)行的操作。當(dāng)然，是在惡意黑客找到這些漏洞之前。隨著近年來互聯(lián)網(wǎng)的高速發(fā)展，全球網(wǎng)絡(luò)空間安全事態(tài)不斷升級，國家對于網(wǎng)絡(luò)安全的重視及舉措，使得企業(yè)對網(wǎng)絡(luò)安全越來越重視，網(wǎng)絡(luò)安全要建設(shè)好，關(guān)鍵是安全人才要培養(yǎng)好。今天知了堂小編為大家分享其中需求量很大的滲透測試工程師崗位，因?yàn)檫@個領(lǐng)域缺乏真正的人才。

不知道樓主的自學(xué)能力怎么樣，就算自學(xué)的話，花的時間也更久，建議報個班，谷安很好的。

關(guān)于自學(xué)好還是報班好？

其實(shí)沒有好壞，需要根據(jù)自己情況選擇。

先來說說線下培訓(xùn)班的優(yōu)勢：

1. 能給你提供沉浸式的學(xué)習(xí)環(huán)境；2. 能相對系統(tǒng)的學(xué)習(xí)滲透知識；3. 遇到問題有老師解惑，有同學(xué)探討；4. 還能推薦就業(yè)。

優(yōu)勢很明顯，但弊端同樣存在：

1. 學(xué)費(fèi)昂貴，動輒一萬起；2. 容易遇到坑

如果想?yún)⒓泳€下培訓(xùn)，建議慎重選擇，最好實(shí)地了解。

說完線下培訓(xùn)，我們再來說說“閉門造車”，自學(xué)是否行得通。

有人說，1. 自學(xué)不系統(tǒng)，容易走彎路；2. 自學(xué)時間長，不知道學(xué)到什么時候是個頭；3. 遇到問題沒有交流探討的人，很容易出現(xiàn)氣餒心理，打擊自信心。

以上這些情況，知了姐還是比較贊同的，自學(xué)需要一定的自制力和意志力，不能三天打魚兩天曬網(wǎng)，要每天堅持不斷地學(xué)習(xí)，還得有效率。

自學(xué)的優(yōu)勢還是比較明顯的：1. 幾乎零成本學(xué)習(xí)，省錢，你只需要一臺能上網(wǎng)的電腦；2. 能按照自己的需求，安排學(xué)習(xí)路線；3. 時間自由，地點(diǎn)自由，一切憑興趣驅(qū)動。

如果是自學(xué)能力強(qiáng)的同學(xué)，且對滲透測試充滿熱情，知了姐倒是建議走自學(xué)滲透這條路，但這條路注定充滿孤獨(dú)，一定要挺住。

滲透測試多長時間能學(xué)會？

你如果條件很好的額話、報培訓(xùn)班當(dāng)然沒問題、當(dāng)然還可以選擇自學(xué)、看書你可能有些知識點(diǎn)很難理解、容易半途而廢你可以加QQ群WEB滲透技術(shù)與網(wǎng)絡(luò)安全、幫你省去找資料的時間、和培訓(xùn)的錢

問題一：什么是滲透測試 我個人的感覺是，滲透包含很多，數(shù)據(jù)庫， 等各種語言，Http等協(xié)議！代碼審計！這些也可以在學(xué)習(xí)中不斷的接觸到,這些的都是web滲透，腳本滲透還要學(xué)，java,c++ 等！學(xué)海無涯！ 問題二：什么是滲透測試啊？ 就是 幫客戶真正解決安1全問題。推薦安識科技 問題三：什么是滲透測試服務(wù)？這個介紹的真詳細(xì) 你好。沒有太明白你的意思呢，請問你是想了解滲透測試流程呢還是想找人幫你做滲透測試，如果都有，那我來回答一下你的這個問題。 滲透測試 在黑客之前找到可導(dǎo)致企業(yè)數(shù)據(jù)泄露、資損、業(yè)務(wù)被篡改等危機(jī)的漏洞，企業(yè)可對漏洞進(jìn)行應(yīng)急響應(yīng)、及時修復(fù)。避免對企業(yè)的業(yè)務(wù)、用戶及資金造成損害。 一、工具原料： 1、android APP包 2、安應(yīng)用 二、APP和網(wǎng)站的滲透測試不太一樣，我給你介紹一個android的滲透測試步驟吧： 1、組件安全檢測。 對Activity安全、Broadcast Receiver安全、Service安全、Content Provider安全、Intent安全和WebView的規(guī)范使用檢測分析，發(fā)現(xiàn)因?yàn)槌绦蛑胁灰?guī)范使用導(dǎo)致的組件漏洞。 2、代碼安全檢測 對代碼混淆、Dex保護(hù)、SO保護(hù)、資源文件保護(hù)以及第三方加載庫的代碼的安全處理進(jìn)行檢測分析，發(fā)現(xiàn)代碼被反編譯和破解的漏洞。 3、內(nèi)存安全檢測。 檢測APP運(yùn)行過程中的內(nèi)存處理和保護(hù)機(jī)制進(jìn)行檢測分析，發(fā)現(xiàn)是否存在被修改和破壞的漏洞風(fēng)險。 4、數(shù)據(jù)安全檢測。 對數(shù)據(jù)輸入、數(shù)據(jù)存儲、存儲數(shù)據(jù)類別、數(shù)據(jù)訪問控制、敏感數(shù)據(jù)加密、內(nèi)存數(shù)據(jù)安全、數(shù)據(jù)傳輸、證書驗(yàn)證、遠(yuǎn)程數(shù)據(jù)通信加密、數(shù)據(jù)傳輸完整性、本地數(shù)據(jù)通訊安全、會話安全、數(shù)據(jù)輸出、調(diào)試信息、敏感信息顯示等過程進(jìn)行漏洞檢測，發(fā)現(xiàn)數(shù)據(jù)存儲和處理過程中被非法調(diào)用、傳輸和竊取漏洞。 5、業(yè)務(wù)安全檢測。 對用戶登錄，密碼管理，支付安全，身份認(rèn)證，超時設(shè)置，異常處理等進(jìn)行檢測分析，發(fā)現(xiàn)業(yè)務(wù)處理過程中的潛在漏洞。 6、應(yīng)用管理檢測。 1）、下載安裝：檢測是否有安全的應(yīng)用發(fā)布渠道供用戶下載。檢測各應(yīng)用市場是否存在二次打包的惡意應(yīng)用； 2）、應(yīng)用卸載：檢測應(yīng)用卸載是否清除完全，是否殘留數(shù)據(jù)； 3）、版本升級：檢測是否具備在線版本檢測、升級功能。檢測升級過程是否會被第三方劫持、欺騙等漏洞； 三、如果是涉及到服務(wù)流程的話，通用流程是這樣的： 1、確定意向。 1）、在線填寫表單：企業(yè)填寫測試需求； 2）、商務(wù)溝通：商務(wù)在收到表單后，會立即和意向客戶取得溝通，確定測試意向，簽訂合作合同； 2、啟動測試。 收集材料：一般包括系統(tǒng)帳號、穩(wěn)定的測試環(huán)境、業(yè)務(wù)流程等。 3、執(zhí)行測試。 1）、風(fēng)險分析：熟悉系統(tǒng)、進(jìn)行風(fēng)險分析，設(shè)計測試風(fēng)險點(diǎn)； 2）、漏洞挖掘：安全測試專家分組進(jìn)行安全滲透測試，提交漏洞； 3）、報告匯總：匯總系統(tǒng)風(fēng)險評估結(jié)果和漏洞，發(fā)送測試報告。 4、交付完成。 1）、漏洞修復(fù)：企業(yè)按照測試報告進(jìn)行修復(fù)； 2）、回歸測試：雙方依據(jù)合同結(jié)算測試費(fèi)用，企業(yè)支付費(fèi)用。 問題四：安卓滲透是什么意思，網(wǎng)上看到好多安卓滲透軟件，干什么用的？ 先把這個詞分為兩部分來解讀：是一種基于Linux的自由及開放源代碼的操作系統(tǒng)，主要使用于移動設(shè)備，如智能手機(jī)和平板電腦，由Google公司和開放手機(jī)聯(lián)盟領(lǐng)導(dǎo)及開發(fā)。尚未有統(tǒng)一中文名稱，中國大陸地區(qū)較多人使用“安卓”或“安致”。Android操作系統(tǒng)最初由Andy Rubin開發(fā)，主要支持手機(jī)。2005年8月由Google收購注資。2007年11月，Google與84家硬件制造商、軟件開發(fā)商及電信營運(yùn)商組建開放手機(jī)聯(lián)盟共同研發(fā)改良Android系統(tǒng)。隨后Google以Apache開源許可證的授權(quán)方式，發(fā)布了Android的源代碼。第一部Android智能手機(jī)發(fā)布于2008年10月。Android逐漸擴(kuò)展到平板電腦及其他領(lǐng)域上，如電視、數(shù)碼相機(jī)、游戲機(jī)等。2011年第一季度，Android在全球的市場份額首次超過塞班系統(tǒng)，躍居全球第一。 2013年的第四季度，Android平臺手機(jī)的全球市場份額已經(jīng)達(dá)到。[1] 2013年09月24日谷歌開發(fā)的操作系統(tǒng)Android在迎來了5歲生日，全世界采用這款系統(tǒng)的設(shè)備數(shù)量已經(jīng)達(dá)到10億臺。2.滲透，這里的滲透指的是滲透測試，而滲透測試是為了證明網(wǎng)絡(luò)防御按照預(yù)期計劃正常運(yùn)行而提供的一種機(jī)制。不妨假設(shè)，你的公司定期更新安全策略和程序，時時給系統(tǒng)打補(bǔ)丁，并采用了漏洞掃描器等工具，以確保所有補(bǔ)丁都已打上。如果你早已做到了這些，為什么還要請外方進(jìn)行審查或滲透測試呢？因?yàn)?，滲透測試能夠獨(dú)立地檢查你的網(wǎng)絡(luò)策略，換句話說，就是給你的系統(tǒng)安了一雙眼睛。而且，進(jìn)行這類測試的，都是尋找網(wǎng)絡(luò)系統(tǒng)安全漏洞的專業(yè)人士。 結(jié)合起來來說就是“ 安卓平臺的相關(guān)漏洞挖掘和測試， 端口掃描漏洞發(fā)現(xiàn)對路由器掃描偽造數(shù)據(jù)包會話控制(需要MSF RPC 連接)中間人攻擊密碼破解有能力可以攻占路由器 常用軟件：dsploit，Network Spoofer，zANTI，DroidSheep 上圖為zanti軟件運(yùn)行截圖。 相關(guān)書籍： Android惡意代碼分析與滲透測試 Android系統(tǒng)安全...等 問題五：滲透測試學(xué)習(xí)些啥呀？ 去看看白帽子講web安全吧 問題六：滲透測試的滲透測試分類 實(shí)際上滲透測試并沒有嚴(yán)格的分類方式，即使在軟件開發(fā)生命周期中，也包含了滲透測試的環(huán)節(jié)，但根據(jù)實(shí)際應(yīng)用，普遍認(rèn)同的幾種分類方法如下： 1、黑箱測試黑箱測試又被稱為所謂的“Zero-Knowledge Testing”，滲透者完全處于對系統(tǒng)一無所知的狀態(tài)，通常這類型測試，最初的信息獲取來自于DNS、Web、Email及各種公開對外的服務(wù)器。2、白盒測試白盒測試與黑箱測試恰恰相反，測試者可以通過正常渠道向被測單位取得各種資料，包括網(wǎng)絡(luò)拓?fù)?、員工資料甚至網(wǎng)站或其它程序的代碼片斷，也能夠與單位的其它員工（銷售、程序員、管理者……）進(jìn)行面對面的溝通。這類測試的目的是模擬企業(yè)內(nèi)部雇員的越權(quán)操作。3、隱秘測試隱秘測試是對被測單位而言的，通常情況下，接受滲透測試的單位網(wǎng)絡(luò)管理部門會收到通知：在某些時段進(jìn)行測試。因此能夠監(jiān)測網(wǎng)絡(luò)中出現(xiàn)的變化。但隱秘測試則被測單位也僅有極少數(shù)人知曉測試的存在，因此能夠有效地檢驗(yàn)單位中的信息安全事件監(jiān)控、響應(yīng)、恢復(fù)做得是否到位。 1、主機(jī)操作系統(tǒng)滲透對Windows、Solaris、AIX、Linux、SCO、SGI等操作系統(tǒng)本身進(jìn)行滲透測試。2、數(shù)據(jù)庫系統(tǒng)滲透對MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access等數(shù)據(jù)庫應(yīng)用系統(tǒng)進(jìn)行滲透測試。3、應(yīng)用系統(tǒng)滲透對滲透目標(biāo)提供的各種應(yīng)用，如ASP、CGI、JSP、PHP等組成的WWW應(yīng)用進(jìn)行滲透測試。4、網(wǎng)絡(luò)設(shè)備滲透對各種防火墻、入侵檢測系統(tǒng)、網(wǎng)絡(luò)設(shè)備進(jìn)行滲透測試。 問題七：滲透測試中的webshell指的是什么 主要是做： 1、負(fù)責(zé)滲透測試技術(shù)服務(wù)實(shí)施，編寫滲透測試報告； 2、負(fù)責(zé)滲透測試技術(shù)交流、培訓(xùn)； 3、負(fù)責(zé)代碼審計、漏洞檢測與驗(yàn)證、漏洞挖掘； 4、負(fù)責(zé)最新滲透測試技術(shù)學(xué)習(xí)、研究。 應(yīng)聘這樣的職位有一定的職業(yè)要求： 1、熟悉交換路由等網(wǎng)絡(luò)協(xié)議、熟悉ACL、NAT等技術(shù)、熟悉網(wǎng)絡(luò)產(chǎn)品配置和工作原理；熟悉LINUX、AIX等操作系統(tǒng)安全配置；熟悉ORACLE、MSSQL、MYSQL等數(shù)據(jù)庫安全配置；熟悉WEB、FTP、郵件等應(yīng)用安全配置； 2、能熟練使用各類滲透測試工具，熟悉手工注入、上傳、中間人攻擊測試、業(yè)務(wù)邏輯漏洞測試； 3、熟悉HTML、XML、ASP、PHP、JSP等腳本語言，會使用C/C++、JAVA、、PYTHON等進(jìn)行程序開發(fā)； 4、熟悉木馬、后門技術(shù)、SHELLCODE技術(shù)、免殺技術(shù)、密碼破解技術(shù)、漏洞挖掘技術(shù)、遠(yuǎn)程控制技術(shù)等。 問題八：滲透測試的滲透測試 滲透測試 (penetration test)并沒有一個標(biāo)準(zhǔn)的定義，國外一些安全組織達(dá)成共識的通用說法是：滲透測試是通過模擬惡意黑客的攻擊方法，來評估計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評估方法。這個過程包括對系統(tǒng)的任何弱點(diǎn)、技術(shù)缺陷或漏洞的主動分析，這個分析是從一個攻擊者可能存在的位置來進(jìn)行的，并且從這個位置有條件主動利用安全漏洞。換句話來說，滲透測試是指滲透人員在不同的位置（比如從內(nèi)網(wǎng)、從外網(wǎng)等位置）利用各種手段對某個特定網(wǎng)絡(luò)進(jìn)行測試，以期發(fā)現(xiàn)和挖掘系統(tǒng)中存在的漏洞，然后輸出滲透測試報告，并提交給網(wǎng)絡(luò)所有者。網(wǎng)絡(luò)所有者根據(jù)滲透人員提供的滲透測試報告，可以清晰知曉系統(tǒng)中存在的安全隱患和問題。我們認(rèn)為滲透測試還具有的兩個顯著特點(diǎn)是：滲透測試是一個漸進(jìn)的并且逐步深入的過程。滲透測試是選擇不影響業(yè)務(wù)系統(tǒng)正常運(yùn)行的攻擊方法進(jìn)行的測試。作為網(wǎng)絡(luò)安全防范的一種新技術(shù)，對于網(wǎng)絡(luò)安全組織具有實(shí)際應(yīng)用價值。但要找到一家合適的公司實(shí)施滲透測試并不容易。 問題九：滲透測試工程師要掌握什么技術(shù) 我個人的感覺是，滲透包含很多，數(shù)據(jù)庫， 等各種語言，Http等協(xié)議！代碼審計！這些也可以在學(xué)習(xí)中不斷的接觸到,這些的都是web滲透，腳本滲透還要學(xué)，java,c++ 等！學(xué)海無涯！ 問題十：滲透工程師是做什么的? 主要是做： 1、負(fù)責(zé)滲透測試技術(shù)服務(wù)實(shí)施，編寫滲透測試報告； 2、負(fù)責(zé)滲透測試技術(shù)交流、培訓(xùn)； 3、負(fù)責(zé)代碼審計、漏洞檢測與驗(yàn)證、漏洞挖掘； 4、負(fù)責(zé)最新滲透測試技術(shù)學(xué)習(xí)、研究。 應(yīng)聘這樣的職位有一定的職業(yè)要求： 1、熟悉交換路由等網(wǎng)絡(luò)協(xié)議、熟悉ACL、NAT等技術(shù)、熟悉網(wǎng)絡(luò)產(chǎn)品配置和工作原理；熟悉LINUX、AIX等操作系統(tǒng)安全配置；熟悉ORACLE、MSSQL、MYSQL等數(shù)據(jù)庫安全配置；熟悉WEB、FTP、郵件等應(yīng)用安全配置； 2、能熟練使用各類滲透測試工具，熟悉手工注入、上傳、中間人攻擊測試、業(yè)務(wù)邏輯漏洞測試； 3、熟悉HTML、XML、ASP、PHP、JSP等腳本語言，會使用C/C++、JAVA、、PYTHON等進(jìn)行程序開發(fā)； 4、熟悉木馬、后門技術(shù)、SHELLCODE技術(shù)、免殺技術(shù)、密碼破解技術(shù)、漏洞挖掘技術(shù)、遠(yuǎn)程控制技術(shù)等。

挺好的，老師很專業(yè)的。