3年,说长也长,说短也短,以前在A3年,从公司的自建房十多人,到走的那时候,上百人,自主创业不容易,一路上说不出的艰苦,也算记录了一个互联网公司的发展壮大,而且据说听闻发展壮大的也非常好,很有可能快挂牌上市了。以后跳到了一个招标方,通称B公司,到现在,又做了3年,可是与在A公司不同,身处招标方,不单单是是分析网络安全问题了,更重视的是维护公司的安全,促进安全建设。刚刚的那时候,公司五百多人,到现在快到一千八人。到公司的挂牌上市,也是人的一生较为难能可贵的行业发展机会。有的那时候我经常说,我可能也是比其他人走运许多。
今日也算为自己的3年做一个小结吧;最开始不太融入,新的环境,新的群体,仿佛沒有互联网公司大伙儿那样热情,大家都在忙着自个手工的工作,掌握公司的构架,掌握公司的安全业务状况。可是和刚工作的那时候似的,充满信心,热情无尽。还记得刚到的那时候,也是对现阶段原有的环境开展网站渗透测试,对于在承包方,而且“智勇双全”的人而言,是较为熟知的工作,最终也成功取得网站服务器管理权限,而且推动修补。以后逐渐转化成业务环境上的一个钉,对业务上架开展系统安全测试。
在测试期内,了解了许多公司的职工,对发觉的漏洞交流修补,期内也发觉了许多的网络安全问题。以后对里外的安全性测试。渗透、安全性测试还算自个较为拿手的,相较为在互联网公司,我反而感觉现阶段的工作算较为“清闲自在”。以后在安全性测试、渗透之外,也开始学习了招标方的安全建设,依据以前所掌握的、所看的开展DEV操作。安全性测试,在里面的统一化流程中,当做当中的连接点,对上架的业务统一化安全性测试,务必修补网络安全问题以后,才可以上架网站渗透测试,对里、外全部按时开展安全性测试,整理现阶段的业务,开展安全性测试,以后创建了1.0版本弱口令扫描,无页面,只有一个漏洞扫描系统的结果,对于漏洞扫描系统结果发送给发送给的人去修补,当中许多产品研发乃至沒有网站服务器管理权限,如果大家新项目上线前一定要网站渗透测试来对项目的整体漏洞有个足够的认知和预控,国内做漏洞测试的公司像SINE安全,鹰盾安全,绿盟,启明星辰等都是对漏洞渗透测试有着丰富的实战经验。
或是网站服务器选用集群服务器布署。2.0(已退出)的那时候运用了github开源的项目,开展再次开发,适用了主要的网站扫描、插件化扫描、服务端口号的弱口令扫描、业务统一化的SSO账号扫描,适用漏扫模式,漏扫报告书、按时安全巡检。2.0的漏扫,系统软件开发结束,可是在扫描速率上、准确度漏报率、安全运营上面沒有做提升,选用的flask+mongo,故此内存吃的也较为严重,一部分表没做数据库索引,造成开启较慢,服务这类的HIDS类似可以更全的扫描,功能上相对来说笨重,漏扫插件化尽管有可是全是各种各样CMS插件漏洞扫描系统,可是并非项目,漏扫落地式操作,扫描自个公司开发的业务,相对来说较弱。
< img src="https://hnxx.oss-cn-shanghai.aliyuncs.com/official/1678694737820.png?t=0.6334725112165747" />