※ 引述《Jasoney (jason)》之铭言:
: 各位大大好呀
: 最近在认真考虑领域
: 我是真的对资安领域有兴趣
: Oscp最近大爆炸 想好好从vulnhub学习再战QQ
: 未来还想更深入研究逆向工程
: 可是看到台湾资安环境让我好犹豫
: 几乎看不到有pentester的工作
: 本来还想说出国走cyber security硕士
: 可是美国又会卡一个什么security clearance
: 我怕找不到工作回来更惨
: 最后看起来中国的工作机会最多
: 可是实际也不知道是什么样子
: 有没有版上大大可以分享一下工作环境
: 小鲁虚心求指教
如同推文里面说的Pentester在台湾基本上乙方的机会比甲方高很多,
台面上(我指的是专案接案数量,不是技术能力),四大、数联、关贸、Devcore、金盾,是我当时在投标或评选时候常看到的名字
Cyber Security 的硕士不要只往美国看,英国有不少大学也有,而且只要1年。
PT的工作机会很多,特别是1. 有证照 2.有PT工作经验 3. 有四大工作经验
我建议你可以多上Linkdin找,然后不要侷限在美国。
至于平常的工作环境,其实甲乙方差不多,除去杂务(甲乙方PT的杂务差很多)
大概就是
1. PT前准备(通知stakeholder、确认scope)
2. VA
3. 告知stakeholder有哪些弱点,需要挑选合适的弱点进行PT(不是每个弱点都适合进行PT)
4. PT
5. 写报告
6. 各专案中间的空档,甲方可能还有时间让你做你个人研究,乙方基本上就别想了
实务上的PT跟CTF还有书上写的不太一样,太多法规跟商业考量,不是想怎么做就怎么做的
在PT过程中把客户/自家公司的server搞挂了,几个小时的商业损失跟无数IT/客户IT的白眼是基本
个人经验有次执行SQL Injection的过程,因为SQL Injection的字段是忘记密码,
结果跑完我SQL指令后,后面就把整个数据库里面的密码重设 (汗)
当天陪着翻白眼的IT在那边做档案复原