Loading
May 3, 2024By Harry Ha

Junior Web Penetration Tester cần gì?

Junior Web Penetration Tester cần có một loạt kỹ năng chuyên môn để thực hiện công việc một cách hiệu quả. Dưới đây là một số kỹ năng cần thiết cùng với các công cụ phổ biến mà họ nên thành thạo.

Yêu cầu chuyên môn

  • Hiểu về cách hoạt động của giao thức HTTP và HTTPS, cách thức gửi và nhận dữ liệu qua mạng.
  • Thành thạo trong việc tìm kiếm các lỗ hổng Server Side và Client Side (Ít nhất là cá lỗ hổng nằm trong Top 10 hoặc đọc hiểu tài liệu OWASP Web Security Testing Guide)
  • Kĩ năng đọc hiểu (cơ bản) tài liệu chuyên ngành bằng tiếng Anh
  • Thành thạo các kĩ năng thu thập thông tin, thăm dò mục tiêu và rà quét các cổng dịch vụ
  • Có khả năng tái hiện và chỉnh sửa các mã khai thác các lỗ hổng (CVE) đã được công bố
  • Triển khai môi trường kiểm thử ứng dụng di động một cách thành thạo

Yêu cầu sử dụng công cụ kiểm thử

Junior Web Penetration Tester cần thành thạo các công cụ kiểm thử bảo mật. Điều này sẽ giúp bạn và tổ chức phát hiện nhanh chóng, chính xác các điểm yếu và tiết kiệm nhiều thời gian hơn. Không những vậy, các công cụ và nhiều nhà nghiên cứu luôn đưa ra các phương pháp tấn công mới. Đòi hỏi Junior Web Penetration Tester luôn phải cập nhật các công cụ mới.

  • Thành thạo Burp Suite Pro (HTTP History, Scanner, Repeater, Intruder, Extension, Macro và những Advanced Settings)
  • Thành thạo Wireshark, subfinder, nmap, wappalyzer
  • Am hiểu các công cụ rà quét lỗ hổng tự động như Acunetix, Nessus, Nuclei, OpenVAS
  • Thành thạo sử dụng các công cụ Metasploit Framework, SQLMap
  • Thành thạo sử dụng các công cụ bẻ khoá mật khẩu John the Ripper hoặc Hashcat
  • Thành thạo sử dụng các công cụ ảo hoá thiết bị di động Genymotion hoặc Android Studio
  • Thạnh thạo các công cụ phân tích tĩnh ByteCodeViewer, GDA-android-reversing-Tool
  • Am hiểu Frida Framework
  • Thành thạo sử dụng IDE như VSCode, PyCharm, IntelliJ

Yêu cầu ngôn ngữ lập trình

Nếu bạn có kiến thức cơ bản về các ngôn ngữ lập trình và những công nghệ phát triển ứng dụng Web, nó sẽ giúp bạn phân tích và hiểu các đoạn mã có thể chứa lỗ hổng.

  • Lập trình cơ bản một trong các ngôn ngữ PHP, Python, Node.js, Go hoặc Rust.
  • Lập trình cơ bản Bash, PowerShell hoặc Command Prompt (CMD) aka Bat Language

Yêu cầu cơ sở dữ liệu

Để phát hiện các lỗ hổng liên quan đến cơ sở dữ liệu như SQL Injection, một Junior Web Penetration Tester cần hiểu rõ cách thức truy vấn, lưu trữ hay cấu hình bảo mật dữ liệu trong một hệ quản trị cơ sở dữ liệu.

  • Hiểu biết cơ bản về các hệ quản trị cơ sở dữ liệu phổ biến sử dụng T-SQL như SQLite, MySQL, MariaDB, MS SQL Server, PostgreSQL
  • Hiểu biết cơ bản về NoSQL như Memcache, Redis hay MongoDB

Yêu cầu hệ điều hành

  • Có kiến thức cơ bản về Windows và Linux
  • Hiểu biết cơ bản về Windows Subsystem for Linux (WSL)
  • Sử dụng thành thạo hệ điều hành Windows & Linux

Yêu cầu kỹ năng khác

Tính tò mò và tư duy mong muốn tìm hiểu sâu sắc gốc rễ của vấn đề sẽ giúp Junior Web Penetration Tester nhận diện các điểm yếu không rõ ràng và tìm cách khai thác. Việc này đòi hỏi Web Penetration Tester luôn phải cập nhật các tin tức công nghệ trên các nền tảng mạng xã hội. Đồng thời luôn cởi mở để học hỏi, cập nhật các chia sẻ của giới chuyên môn

Tham gia các hoạt động cộng đồng liên quan đến bảo mật là một cách tuyệt vời để mở rộng mối quan hệ và chia sẻ những kiến thức bảo mật tích cực cho cộng đồng.

Các Junior Web Penetration Tester cũng cần phải gặp hoặc trao đổi với khách hàng, để đưa ra các phương án khắc phục kịp thời. Nên việc phải trình bày lại các lỗ hổng và phương pháp khai thác một cách dễ hiểu dưới dạng Slide hoặc văn bản là một kỹ năng cần thiết. Do đó khả năng ghi chép lại quá trình kiểm thử, kết quả phân tích và tạo ra báo cáo chi tiết về các lỗ hổng bảo mật đã tìm thấy là một điều rất quan trọng.

Để Junior Web Penetration Tester dễ dàng tìm kiếm và khai thác lỗ hổng. Bạn phải có tư duy xây dựng hệ thống, xây dựng website. Nếu không có các tư duy này, sẽ rất khó để biết một hệ thống hoạt động như thế nào.

Cuối cùng, mỗi Penetration Tester cần tuân thủ nghiêm ngặt các quy định pháp lý và chuẩn mực đạo đức để đảm bảo rằng họ thực hiện các hoạt động kiểm thử một cách có trách nhiệm.

Harry Ha

Whitehat hacker, Founder at Cookie Hân Hoan, Co-founder at CyRadar, Senior Penetration Tester, OSCP, CPENT, LPT, Pentest+

svg

What do you think?

It is nice to know your opinion. Leave a comment.

Leave a reply