从技术炫耀到战略伙伴：一本改变我渗透测试思维的书

一本彻底改变我渗透测试方法的书

从技术炫耀者到战略伙伴：改变我职业生涯的一课

我曾是你见过的最傲慢的渗透测试员。刚从大学毕业，我闭着眼睛都能运行Kali Linux里的每一个工具。我能凭记忆背诵漏洞利用语法。我的报告里充满了技术术语和听起来很厉害的漏洞。在我自己心里，我就是个黑客摇滚明星。

然后我失败了。惨败。

那是一次针对一家大型金融机构的渗透测试。我找到了一个我以为是关键漏洞的问题——他们客户门户网站中的一个SQL注入漏洞。我以我一贯的技术辉煌风格写了报告，充满了载荷示例和数据库模式细节。首席信息安全官耐心地听完，然后问了一个粉碎我世界的问题：“所以呢？”

他继续说：“攻击者实际上能用这个做什么？这会让我们损失多少钱？我们的业务风险是什么？”我站在那里，嘴巴微张，意识到我根本不知道答案。我一直如此专注于技术上的“能够做到什么”，以至于完全忽略了业务层面的“所以呢”。

那天晚上，我垂头丧气地回了家。第二天早上，一位资深同事递给我一本封面破旧的蓝色书籍。“读读这个，”他说。“这会有点难受，但你需要它。”

CSD0tFqvECLokhw9aBeRqsxlgBC8zQWCT0hCWgCKt7UF+ifl5h9lk7tPJVF5Wm9YZvYDTw7moWH7oxUL4pOQA6LdFedRd3x4J9b/7p70q2z5yvRC5E0dQEqbW1mgNtvXql1iDbmoDSei0xx1etozXrNk2JXMuA3pcCkWpj6chlA=