想請教一下工作環境是怎麼樣子 - 資安

※ 引述《Jasoney (jason)》之銘言：
: 各位大大好呀
: 最近在認真考慮領域
: 我是真的對資安領域有興趣
: Oscp最近大爆炸 想好好從vulnhub學習再戰QQ
: 未來還想更深入研究逆向工程
: 可是看到台灣資安環境讓我好猶豫
: 幾乎看不到有pentester的工作
: 本來還想說出國走cyber security碩士
: 可是美國又會卡一個什麼security clearance
: 我怕找不到工作回來更慘
: 最後看起來中國的工作機會最多
: 可是實際也不知道是什麼樣子
: 有沒有版上大大可以分享一下工作環境
: 小魯虛心求指教

如同推文裡面說的Pentester在台灣基本上乙方的機會比甲方高很多，

檯面上(我指的是專案接案數量，不是技術能力)，四大、數聯、關貿、Devcore、金盾，是我當時在投標或評選時候常看到的名字

Cyber Security 的碩士不要只往美國看，英國有不少大學也有，而且只要1年。

PT的工作機會很多，特別是1. 有證照 2.有PT工作經驗 3. 有四大工作經驗

我建議你可以多上Linkdin找，然後不要侷限在美國。

至於平常的工作環境，其實甲乙方差不多，除去雜務(甲乙方PT的雜務差很多)

大概就是

1. PT前準備(通知stakeholder、確認scope)
2. VA
3. 告知stakeholder有哪些弱點，需要挑選合適的弱點進行PT(不是每個弱點都適合進行PT)
4. PT
5. 寫報告
6. 各專案中間的空檔，甲方可能還有時間讓你做你個人研究，乙方基本上就別想了

實務上的PT跟CTF還有書上寫的不太一樣，太多法規跟商業考量，不是想怎麼做就怎麼做的

在PT過程中把客戶/自家公司的server搞掛了，幾個小時的商業損失跟無數IT/客戶IT的白眼是基本

個人經驗有次執行SQL Injection的過程，因為SQL Injection的欄位是忘記密碼，

結果跑完我SQL指令後，後面就把整個資料庫裡面的密碼重設 (汗)

當天陪著翻白眼的IT在那邊做檔案復原

--