※ 引述《Jasoney (jason)》之銘言:
: 各位大大好呀
: 最近在認真考慮領域
: 我是真的對資安領域有興趣
: Oscp最近大爆炸 想好好從vulnhub學習再戰QQ
: 未來還想更深入研究逆向工程
: 可是看到台灣資安環境讓我好猶豫
: 幾乎看不到有pentester的工作
: 本來還想說出國走cyber security碩士
: 可是美國又會卡一個什麼security clearance
: 我怕找不到工作回來更慘
: 最後看起來中國的工作機會最多
: 可是實際也不知道是什麼樣子
: 有沒有版上大大可以分享一下工作環境
: 小魯虛心求指教
如同推文裡面說的Pentester在台灣基本上乙方的機會比甲方高很多,
檯面上(我指的是專案接案數量,不是技術能力),四大、數聯、關貿、Devcore、金盾,是我當時在投標或評選時候常看到的名字
Cyber Security 的碩士不要只往美國看,英國有不少大學也有,而且只要1年。
PT的工作機會很多,特別是1. 有證照 2.有PT工作經驗 3. 有四大工作經驗
我建議你可以多上Linkdin找,然後不要侷限在美國。
至於平常的工作環境,其實甲乙方差不多,除去雜務(甲乙方PT的雜務差很多)
大概就是
1. PT前準備(通知stakeholder、確認scope)
2. VA
3. 告知stakeholder有哪些弱點,需要挑選合適的弱點進行PT(不是每個弱點都適合進行PT)
4. PT
5. 寫報告
6. 各專案中間的空檔,甲方可能還有時間讓你做你個人研究,乙方基本上就別想了
實務上的PT跟CTF還有書上寫的不太一樣,太多法規跟商業考量,不是想怎麼做就怎麼做的
在PT過程中把客戶/自家公司的server搞掛了,幾個小時的商業損失跟無數IT/客戶IT的白眼是基本
個人經驗有次執行SQL Injection的過程,因為SQL Injection的欄位是忘記密碼,
結果跑完我SQL指令後,後面就把整個資料庫裡面的密碼重設 (汗)
當天陪著翻白眼的IT在那邊做檔案復原