安全顾问的经验之谈

| 分类 安全工程师  | 标签 安全架构 

安全顾问

接触香港那边,开始了解整体的架构和技术方案。用的是phpgolanggolang用于实现游戏的逻辑,php用于实现业务系统的逻辑,分别部署在一个私有机房的5台服务器上。web 服务器用的nginx,后盾数据用的mysql进行存储。服务除了各个系统服务和业务之外还有ipfs, rsync。当然这是比较中规中矩了。后来了解了下还没有负载均衡系统,等等都没有。

但是根据轻重缓急的原则,开始考虑。即重要又急切的肯定是要先做的。退而其次,不严重的又不着急的最后再去做。以保证公司的安全先得到基本的保障。

然后了解一下买了WAF,但是没有CDN所以,所以先对设计基础架构,然后做其检测。因为时间原因,都是先从基础的来。至于办公内网的安全,运营这些肯定不是当务之急。 暂时列出来下面这些条目,同步进行。

  • 基础架构设计
  • 安全配置与基线检查
  • 业务代码安全审计
  • 服务加固和主机加固 (linux/windows, mysql等)
  • 安全编码规范
  • 业务逻辑测试

按照我的套路来,基础架构肯定是先CDN->WAF走一遭到主机,然后主机挂上HIDS/NIDS,但是针对这种游戏类的业务,防刷肯定是必要的。做到这些,可以熔断,限流,或者降级。这样就需要一个API网关,但是并不是急需的。

default

其实如果是基于云的话应该做起来更方便一些。但是好在服务器数量并不多。所以做起来也不是很难。然后把安全编码的一些规范,和checklist也给了他们让去自检。同时那边整理了几个系统过来,我就随手测了一下,不测还好。一测发现了几个漏洞。看样子开发的水平应该是挺基础的。

渗透测试

SDLChina的文档最初编写的时候,美图的史鑫磊把漏洞挖掘引起重视作为SDL落地的首要步骤,当时我就认为是不妥的。因为在尚未沟通的情况下,你就怎么知道领导不愿意帮助去推送SDL落地呢?但是在这此的事件中,发现渗透测试的确等引起重视,从而使高层决心从整个软件生命周期去保障产品安全。(但这永远不应该是第一步就应该做得,沟通才是最便捷的)。 下面渗透的14000系统的时候从一些报告中截的图。

image

image

手动触发后,发现有sql,用sqlmap跑出Post injection的payload,测试。

image

image

用户的个人信息修改之后,会在个人信息页造车xss,本想着这个用处不大,但是由于修改之后用户页也会显示,所以这样整个XSS的价值就变大了。通过其中任何一个用户就可以盗取所有用户的登录凭证。

image

越权导致可以删除其他管理员的,说明鉴权没有做好。早上的时候还发现了CSRF这个图就不截了,没在报告里。CSRF配着XSS简直了。 然后针对对应的漏洞提供了解决方法。还有几个系统,暂时不想测试了。这算是第一次做类似安全顾问角色的事情吧,还是挺有意思的

总结

  • 远程沟通存在一定的成本性,双方的协作能力可以使其降低到最小,但是远程工作还挺令人向往的。
  • 存在误差的时候需要及时的纠正。
  • 安全顾问在国内似乎并不是很多,查资料没查到什么系统化的。
  • 老板说给点意思意思,一毛也没看到。所以,老板说话最好别信。
  • 游戏是个很赚钱的行业。博彩游戏就更赚钱了。

其他

交易所移交给深圳了,若留,应要跟着去深圳或者香港了。最初并不知道,突有一天就说要搬了。提了离职,面了两家公司。得垚哥推荐,拿了饿了么的offer。key是很有学识的了。可见好的公司用人总有他的可学之处。云盾那边和CTO聊了一次,后来二约就不想去了,也就没有再聊了。 这边一周左右交接完毕。然后老板打算给推荐到香港那边,是集团下面的另一家公司。按老板的话,是要先帮助解决下实际问题。虽然不打算去,但想想不如送个人情吧。 但事情总是很奇怪,因title引起的问题也是一言难尽,饿了么还能不能去也是个问题,心情波动有点大,记录一下用来缓解下心情。想想还是自己不够强,如果手里拿了10份一线互联网的offer,可能就不会这么感觉了。

写到这个的时候,我已经没有什么生气的了。提醒找工作的,不要被title坑了。真是吃一堑长一智。


上一篇     下一篇