随着web安全在社会各界的关注度不断提高,整体的安全水平也在不断的上升,从以前阿D,明小子横扫互联网,到现在互联网企业基本告别注入,web渗透测试,仿佛进入了一个瓶颈。
现如今,只要公司安全意识到位,运维及时更新补丁,服务器在一定程度上就已经很难攻破。再加上各种厂商的免费waf,web端的突破如果没有绕过,那便基本只能搁置一旁。
各类安全编程规范的制定,更是从代码上把握住了安全。现在的漏洞发现,已经是耐心,细心与经验的组合。更多的关注点,已经从owasp top 10转移到了逻辑漏洞上。安全又回到了其最大的漏洞上来,关于人的漏洞。
翻阅了下发的所有文件,从华为的测试规范,到web的安全编程规范,再到移动的基线检查。安全,在一线互联网公司已经被全方位包裹,从web端到服务器。每一个容易产生漏洞的点,都会有详细的说明,都有其原理,防范方法,检测方法的规范性文档,唯一可能导致漏洞产生的,只能是人的操作未按照规范。
接触安全的时间并不长,但是感觉,自己仿佛在某个时间点之后,就没什么进步了。一直裹足不前。之前很长一段时间很忧虑,没有提升仿佛在泥潭一般。大的厂商基本很难找出问题,找出问题也是无关痛痒的小毛病。小厂商,没做安全就是裸奔,很多时候一个免费的waf就能让人放弃,转而找下一个继续。
这便是我