客户案例研究

AndrejŠimko - 埃森哲

Burp套件,专业服务和舞厅跳舞。

埃森哲徽标

介绍

埃森哲的巨大的安全服务包括渗透测试,量身定制的攻击服务,对手模拟,SDLC安全,威胁狩猎,事件响应,特权访问管理和安全运营中心(SOC)解决方案。beplay维护得多久其客户的范围从较小的公司到世界上一些最大的品牌。

AndrejŠimko是埃森哲的安全助理经理。基于捷克共和国布拉格的网络融合中心,Andrej是埃森哲大规模全球网络安全运营的一部分。作为一家财富500强企业,全球拥有超过一半的员工(其中大约6,000人在安检上工作),埃森哲是世界上最大的网络安全提供者之一。

重点福利

Andrej确定了许多主要福利埃森哲使用Burp Suite Professional.

Burp套件在埃森哲

Andrej是Portswigge软件的经验丰富的用户 - 在撰写beplay官网可以赌本文时,在一半的十年内使用Burp Suite Professional。他告诉我们,当他的同事首先将他介绍到Burp套件时,这是一见钟情。或者 - 正如他所说的那样 - 这是“简直太棒了”。

虽然他在埃森哲的管理水平达到了管理水平,但安德鲁仍然涉及技术安全。这意味着他使用Burp套件 - 包括bepaly下载 - 定期。

许多渗透测试仪爱Burp扫描仪的能力,可以快速找到最新的Web安全漏洞。beplay体育能用吗安德鲁在这里也不例外。他呼唤Portswiggebeplay官网可以赌 Research的工作,对埃森哲能够捕捉他们不能与其他工具的脆弱能力有价值。

安德尔发现了Oast.扫描Burp Collaborator特别有用。Burp套件开创了这种技术 - 自动化寻找带外安全漏洞的过程。除了Burp Suite的IAST功能之外,Andrej认为他发现了最完美的追捧。

各种各样的专业

通往网络安全的道路可以是蜿蜒的道路。这是Andrej认真的东西。他知道有关来自流体动力学的背景,直到烘焙披萨的背景。这使Andrej在行业中略显不寻常。他在信息技术安全领域拥有信息学硕士学位。

并且变异没有结束那里。询问Appsec Person关于他们更广泛的兴趣,您通常会出现惊喜。如果Andrej在安全以外的生活中激情,那就是舞厅跳舞。通过他的奖牌判断,他也很擅长。

但安德鲁远离那些喜欢华尔兹的唯一安全专业人士。在最近的舞蹈活动中,凭借他的黑色帽子连帽衫,他被一个善良的精神认可。显然,跳舞在网络安全人员中相当常见。

舞厅 - 跳舞网络安全

保护SDLC.

在埃森哲工作,Andrej遇到了许多不同类型的客户用例。这里的一个常见线程涉及想要在开发结束时将自己的方法转移到安全性的客户,以确保他们的软件首先是安全的。

后一种方法 - 安全SDLC或Devsecops - 是网络安全的蓬勃发展趋势。但安德鲁很快就指出,这并不总是容易的。虽然较新的,更令人反身的组织通常可以在没有太多麻烦的情况下进行这种转变,但与现有平台的更大操作通常会发现更具挑战性的事情。

Andrej提及扫描大型现有代码库可以快速揭示数十万的安全漏洞。一旦这样的面纱被提升,有关的组织需要一个可行的计划来确定它将如何弥合差距。它远非不可能,但这是一个需要仔细规划和考虑的过程。

有用的功能

我们已经提到过Andrej是Burp Collaborator(Oast)和Burp Suite Professional的Burp Infactrator(IAST)工具的忠实粉丝。但是,我们有兴趣了解他和他的团队的其他功能,发现在埃森哲的工作中最有用。

作为高级Burp套件用户,很明显Andrej喜欢调整设置。他呼吁将Fine-Tune Burp Suite的要求工作流程呼唤了他的工作。这使他能够进行正确分析的多步操作,并调整CSRF令牌。

Andrej也是Burp Extender的粉丝。Andrej表示他几乎每天使用的两次扩展 - 他也写了自己的。他对这件允许他几乎所有他需要直接从Burp套件做的一切 - 而不是需要Python Scripting。

例如,在过去,Andrej编写了一个在测试中创建参数的平台。这有助于他在他当时工作的政府申请中确定了一个大的错误。但是现在,他说他会通过简单地使用自由参数矿工Burp扩展来节省努力。

Burp Suite对Andrej的个人资料也非常棒。每个渗透测试仪都喜欢用它旁边的名字得到一个cve,而安德尔在这里也不例外。在一个情况下,在使用Burp Infiltrator来识别一些隐藏的SQL注入漏洞之后,他不是一个,而是两个CVES。

埃森哲最爱

Andrej确定了许多Burp套件功能,这些功能是埃森哲工作的关键:

总之

正如您所看到的,Andrej是一个真正的Burp套件电源用户。他努力发现和使用他的所有功能。他强烈同意以下陈述:

关于Burp Suite Professional

Burp Suite Professional是一种用于测试Web Security的先进工具 - 全部在单一产品中。beplay体育能用吗从基本拦截代理到尖端漏洞扫描仪,用Burp Suite Pro,右侧工具永远不会多点球。