安全事件发生的最初阶段,是“黑客”促使我们思考安全漏洞的危害–往往考虑的是直接危害,同样我们最初的解决办法当然是“头痛医头脚痛医脚”。同时,许多人对于黑客的行为感到相当好奇,偷窥欲望油然而生,许多人钻研黑客技术往往就是因为好奇,现实当中有攻击能力往往成为衡量一个人技术水平的“不成文共识”。本人对这些现象不否认但不支持也不赞成,这种观念上的分歧的根源往往在于每个人站的角度不同使然。

如果你的职责是守护一个产品,确保它可以提供安全的服务给我们的客户,我需要思考什么?先看一下,你同意以下观点吗?

1. 你学着黑客一样在测试环境去攻击我的产品,发现问题立即封住,这是我的主要职责

2. 你监听用户行为,发现恶意行为,立即堵住,同时找到恶意用户的攻击点,找找问题,如果有问题,封住,这是我工作的重要组成部分

3. 你的老板可能会认为我发现的问题越多,说明技术越好越用功,对产品的安全性越有信心

4. 你担心当某一天,我再也无法发现产品的安全问题了,是不是我也就没事儿了,轮到我下岗了

如果你同意或基本同意以上观点,我觉得你所维护的产品发安全性相当危险,至少你没有足够的理由对你的产品的安全性足够的放心。

再看一下以下观点,你同意吗?

1. 你研究黑客行为,目的是掌握潜在的安全漏洞的存在形式,以检查本公司产品是否有类似问题

2. 你研究各种常见漏洞,目的是掌握漏洞的产生的根源,以便我系统的总结它的原因,系统化的统一在产品当中解决它

3. 你努力着试图把各种漏洞的产生的根本原因总结到一起,抽象出共性,以使其变为规范,在产品开发过程当中以便程序设计与实现人员只要遵守规范,便可避免诸多潜在安全问题的出现

4. 你研究渗透测试目的不是用测试来发现所有的安全问题,而是用来检查我以上三条是否需要完善

如果你同意或者基本同意以上观点,至少你所维护的产品的安全性是可控的,可度量的,内心是有底的,如果你敢大胆的说你的产品足够安全,那可性度是相当高的。

最后,用一个例子来表明为什么要淡化攻击过程实现:

如何发现XSS漏洞?我一句话就能说清楚:用一串带有Javascript敏感的字符串来篡改替换HTTP请求头当中的参数值,观察HTTP响应里是否被返回,如果返回是否被正确编码(叫转义也行)的过程。

如此说来,发现一个有XSS漏洞的API的XSS问题对于一个普通的软件测试人员也并非难事儿。一个简单的反射式XSS问题,可能5分钟就可以确定,但是,我要强调一下这个“但是”,这个XSS漏洞如何反变成可利用的可以实现攻击的漏洞,这个过程将可能是1小时也可能是一个月,还有可能是1-2年!

对于我,一个企业的产品安全维护者,解决这样的一个XSS问题可能也只需要5-10分钟,如果让我花1小时到2年时间来证明它的利用价值有多高,请问同行们,你觉得有意义吗?

有一个群体的人会回答:有意义! 他们往往是非产品安全维护人员,可能是黑客产业链中的人,也可能是强烈的黑客技术的好奇者……,如果不幸的有我们同行在里面,我会觉得很不是滋味,

我理想中的同行们应该是这样的:

我有能力成为黑客,但是我不会把时间浪费在“当黑客”这一行当上。

网友讨论:

落叶纷飞 (1级) 00day.cn,打站尸,脚本猪,WEB安全攻城尸 2013-05-08 1楼

讲左半天感觉就系讲一个安全从业人员的心态

@anlfi 喷死距

jiayzhan (2级) 2013-05-08

@落叶纷飞 也是理念,观念转变是很难得,特别是对于正在从事职业渗透测试的人来说

anlfi (1级) Nothing is true,Everything... 2013-05-08

@jiayzhan 没仔细看我回复吧

可以看出即是一种心态又是一种责任 只有淡化过程 了解"问题本质"<<<

我说的就是根本 算了反正我也是来灌水的

anlfi (1级) Nothing is true,Everything... 2013-05-08

@落叶纷飞 笨蛋我才不喷呢,人都是有思想的,他认为是对的你何必去改变别人的想法?

就像信念不同 不和胃口的自然不会在一起 况且你自己也没有能改变自己怎么去改变别人

快来一起灌水吧

_______________________________________________________________________________________

jiayzhan 写很的不错,有一句话说的好 出鞘的剑能能阻止另一把剑出鞘伤人,破坏是痛苦的

“淡化攻击实现过程,系统化解决应用安全问题才是王道”

可以看出即是一种心态又是一种责任 只有淡化过程 了解问题本质

理智的处理威胁 就像警察不是每一个犯人都去抓 解决问题的方法有很多

但是能保持理智就能做出最正确的选择

态度决定一切!@落叶纷飞 这只是对你没有用而已 不要妄想定论

看完你的文章我很感动!

—————————————————————————————

以下是吐槽时间

看完标题我就懂了 “淡化攻击实现过程,系统化解决应用安全问题才是王道”

其实他可能要说的是这个意思 “淡化攻击过程危害,经过法律途径解决安全问题才是王道”

我有能力成为黑客,但是我不会把时间浪费在“当黑客”这一行当上。

<<<<<<<<<<<<<<<<<<<<<同意+1 快加入我大天朝的队伍来吧

当黑客是没有好下场的

要是敢发一段xss测试 立马就不计成本的去抓你

国家下发 xxxxW$抓捕经费 严厉抓捕 通缉 黑客

坚决根除纯在的 可能的 地下 非正式的“信息安全工程师”或黑客 程序员,

此举将有效的控制黑客数量

创造和谐美好的网络氛围

同时祝贺我大天朝 国域网 与 GFW 完美建成

啪啪啪啪~

jiayzhan (2级) 2013-05-08

@anlfi 可能是我表达不够好,我是想表明从根本上解决问题的思路,如果可能,我会有更多细化文章分享给大家

xsser 2013-05-08

@anlfi 我封你为FB吐槽之神!

thanks (10级) 支付宝安全工程师 2013-05-08

@anlfi 我们打算给anlfi这种热心会员颁奖,FB有你更精彩

eip_0x 2013-05-09

@anlfi 孩子。。你考虑问题太单纯。。人类社会的事不是用IF判断的。没有绝对的对和错。。你只能管国内黑客。。你能管的着国外黑客和国外网络部队么。事情总是有两面。。。技术不是最重要的,重要的是思想,你维度比别人高才能看的更多 更远!

马种 2013-05-08 2楼

装。。。

jiayzhan (2级) 2013-05-08

@马种 呵呵,何必攻击人,我会有更多系列文章,希望有用,我也是从黑客过来的,可以说是被训话过来的。有意见可以交流。

pnig0s (9级) 知道创宇安全工程师 2013-05-08

@jiayzhan 支持分享以及良性的Pk,而非@马种这种毫无依据的恶意吐槽。

落叶纷飞 (1级) 00day.cn,打站尸,脚本猪,WEB安全攻城尸 2013-05-08

@jiayzhan @pnig0s 就系啊,觉得人家写得5好可以提出建议,但5使好似@马种 那样人身攻击吧

支持小P,支持 了解创业 ,支持FB,支持落叶哥哥

pwolf (1级) 2013-05-08

@jiayzhan 做过甲方安全,而且有过相当的经验,才能有这种体会

落叶纷飞 (1级) 00day.cn,打站尸,脚本猪,WEB安全攻城尸 2013-05-08 3楼

@pnig0s 搞错了,是知道创业

lips 2013-05-08

@落叶纷飞 知道创于吧……

pnig0s (9级) 知道创宇安全工程师 2013-05-08

@落叶纷飞 来luoye妹子跟我念“ZHI”,“DAO”,“CHUANG”,“YU”。

pwolf (1级) 2013-05-08 4楼

这种思路不错,对甲方很有意义,做甲方安全很容易迷失在攻防之中。期待jiayzhan更多的分享!赞一个!

jiayzhan (2级) 2013-05-08

@pwolf 谢谢有此相同感受,我的每一句话都是抱着把我的经历与切身受益分享给更多人为出发点的。我自以为我的思路可以从根本上解决企业产品安全问题,而不是停留于西医疗法——头痛医头脚痛医脚。当然过度过程中西医疗法是可以接受的。

anlfi (1级) Nothing is true,Everything... 2013-05-08

@jiayzhan

看来作者还对 西医有了解

头痛医头脚痛医脚

是否是对 人体学位的把握

中西医疗法是否就是配合针灸 与西方药剂学配合治疗疾病呢

呵呵 学习了

jiayzhan (2级) 2013-05-08

@jiayzhan 只是比喻,欢迎探讨

dig my girl 2013-05-08 5楼

好文。

可惜现在甲方大部分经常只让做测试 不让做架构和防御

就像一个主人只让你去咬。而不让你去“修” “盖”

jiayzhan (2级) 2013-05-08

@dig my girl 国内企业目前多数确实是你说的这样,我想不太久的未来会逐步转变的,因为只有这样对于企业来说成本更低。

黑月 (1级) 2013-05-08 6楼

相当赞同

安全从业者的心态出发的好例子

但是国情是很多东西不涉及数据 总不能被领导重视

jiayzhan (2级) 2013-05-08

@黑月 领导不懂安全,需要做事的人渗透这样的思维给领导,时间久了,次数多了,案例多了,就水到渠成了

mutcoee 2013-05-08 7楼

好文!赞一个

anlfi (1级) Nothing is true,Everything... 2013-05-09 8楼

@eip_0x 一点幽默都没有,笨死

不作死就不会死

在天朝你想有

技术 思想 不当工具

节操交出来 觉得活腻了我就从你后面来一发

国外黑客 国外黑客 你可以去国外呀

谁跟你说哲学谈人生说对错了就拿砖头拍死他

anlfi (1级) Nothing is true,Everything... 2013-05-09

@anlfi 摸摸头你说的很对 但对于天朝国情 哪怕你是对的 也不能横行啊

落叶纷飞 (1级) 00day.cn,打站尸,脚本猪,WEB安全攻城尸 2013-05-09

@anlfi 如果能去我必然去国外,死也不回来了

Lr@dD (1级) 2013-05-09 9楼

对于国内来说现在对安全的重视也在慢慢加强,这个需要一定的时间来让大家接受。不管是国内还是国外其实都在提高,只是国内现在的步伐慢了几个节拍,相信安全也逐渐让更多人重视。

source