从技术黑客到战略思考者:一本书如何彻底改变我的渗透测试方法
我曾是你见过的最傲慢的渗透测试员。刚从大学毕业,我就能蒙着眼睛操作Kali Linux里的每一个工具。我能凭记忆背诵漏洞利用的语法。我的报告里充斥着技术术语和听起来很厉害的漏洞。在我自己心里,我就是一个黑客摇滚明星。
然后我失败了。一败涂地。
那是一次针对一家大型金融机构的渗透测试。我发现了一个我以为是关键漏洞的问题——他们客户门户网站中的一个SQL注入漏洞。我以我一贯的技术辉煌风格写了报告,里面满是载荷示例和数据库架构细节。首席信息安全官耐心地听完,然后问了一个击碎我世界的问题:“那又怎样?”
他接着说:“攻击者实际上能用这个做什么?这会让我们损失多少?我们的商业风险是什么?”我站在那里,嘴微微张开,意识到我一无所知。我一直如此专注于技术上的“能不能做到”,以至于完全忽略了商业上的“那又怎样”。
那天晚上,我垂头丧气地回了家。第二天早上,一位资深同事递给我一本蓝色封皮磨损的书。“读读这个,”他说。“这会让你难受,但你需要它。” CSD0tFqvECLokhw9aBeRqsxlgBC8zQWCT0hCWgCKt7UF+ifl5h9lk7tPJVF5Wm9YZvYDTw7moWH7oxUL4pOQA6LdFedRd3x4J9b/7p70q2z5yvRC5E0dQEqbW1mgNtvXXHTYKatt5euaXCfIF0Ako3mAguFvSTZO6VanQqDrJ7g=
