邁入上班的第二週,原本預計這週可以接同事的滲透測試,可惜主管出國,任務的重新分配得等到下週才能做調整。因此,這週的任務大致上有三項:
(1)到客戶公司做弱掃
(2)弱掃報告的產出
(3)協助資安規範的制定
弱掃報告這東西一進來就有聽聞同事說程序很麻煩,不禁心想我當兵每個月跟學長、學弟在幫那些長官產的報告、圖表才想吐血, 就不信邪的寫信跟主管說想試著產上週的弱掃報告看看,主管也就同意了。
一開始在環境架設上折騰一陣子,因為使用的傢伙都是公司的大大們寫出來的自動化工具,缺一些元件就執行不起來,再加上有很多小細節的部份沒做個幾次真的搞不定(雖然當兵在做的報告細節大概是這個的100萬倍吧),搞了兩天才把上週的報告搞定。
這週也是自己第一次單槍匹馬上陣到客戶那做弱掃,幸好筆記有做完整,當下沒出什麼問題,結果沒想到我才去完隔天就GG啦,後來聽同事說才知道,是客戶的頻寬問題,同事調整掃描參數的設定後還是無解,就先幫客戶處理比較緊急的事情-產報告。嗯,第二份....不過有了上次的經驗,這次大概半天就搞定了,不過跟同事的產出速度還是差太多了,要再多練習就是。
另外公司內部開始為期兩個月,每週上兩天,一天上三個小時的行動裝置安全相關的線上教育訓練課程,這些時間只要自己有興趣就可以到會議室上課,因為課程全英文,我的英文又是菜逼八的程度,就勞煩公司大大在每個章節後大略的翻譯,後來有同事問他說「怎麼你英文這麼強」,他只淡淡地回了句「因為他說的是英文阿」。嗯,我跪了。
來了兩個禮拜,覺得公司學習風氣很好,聽到有同事每週會強迫自己做一個主題的教學分享,我就決定也要效仿一下,假日的時候抽點空學些新玩具來分享,雖然最近被指派接行動裝置的安全部分,要花時間看Android和iOS架構,下週被主管指定要做一份報告的心得分享、出差到桃園龜山,再下下週還有研討會的心得報告,再隔一週估計還有一個,希望有時間玩新工具啊....
本週工作心得:
1.當員工遇到問題時,主管應先告知解決問題的原則性,再授權員工去做處理。
2.在報告、會議中的發言,背後都應有實質的證據或理論來支撐你的論述。
3.同一句話不要讓別人說第二次。
4.任務完成後務必告知主管狀況,若無法在期限前交付任務時,應提前通知。
5.善用你身邊的工具。
6.不要被動等待任務,主動尋找學習機會。
7.再次檢查任何人提交的任何資料。
8.信件來往前,務必搞清楚狀況、內容。
9.可以自己解決的問題盡可能不要麻煩別人。
10.學無止盡,尤其是在搞資訊的。
本週工作筆記:
1.本機與virtual box虛擬機檔案互傳的方法:
(1)打開虛擬機->裝置->共用資料夾->共用資料夾->點新增圖示
(2)選擇資料夾路徑->資料夾名稱可自訂->選項部分看自己設定,我只設定「設為永久」(重開虛擬機要再輸入下面的指令)
(3)到虛擬機找路徑新增一個共用的資料夾
(4)終端機輸入:mount -t vboxsf [本機共用資料夾的名稱] [虛擬機資料夾路徑]
#注意:本機與虛擬機設定的共享資料夾名稱不能相同
2.Android app之socket常見安全問題:
许多Android应用不正确地使用网络socket端口传入命令进行跨进程通信,而且对于本地应用环境,网络socket也先天缺乏细粒度的认证授权机制,因此把Android客户端当做服务器,使用“攻”的方法,主动向开放端口发送攻击载荷也是可行的。这种漏洞一旦存在,轻则本地提权,重则为远程利用的高危漏洞,3G移动网络允许UE互访更是加剧了这种风险。
詳細參考:浅谈Android开放网络端口的安全风险
如欲閱讀更多工作心得,請見 工作週記
沒有留言:
張貼留言