隨着web安全在社會各界的關注度不斷提高,整體的安全水平也在不斷的上升,從以前阿D,明小子橫掃互聯網,到現在互聯網企業基本告別注入,web滲透測試,彷彿進入了一個瓶頸。
現如今,只要公司安全意識到位,運維及時更新補丁,服務器在一定程度上就已經很難攻破。再加上各種廠商的免費waf,web端的突破如果沒有繞過,那便基本只能擱置一旁。
各類安全編程規範的制定,更是從代碼上把握住了安全。現在的漏洞發現,已經是耐心,細心與經驗的組合。更多的關注點,已經從owasp top 10轉移到了邏輯漏洞上。安全又回到了其最大的漏洞上來,關於人的漏洞。
翻閱了下發的所有文件,從華爲的測試規範,到web的安全編程規範,再到移動的基線檢查。安全,在一線互聯網公司已經被全方位包裹,從web端到服務器。每一個容易產生漏洞的點,都會有詳細的說明,都有其原理,防範方法,檢測方法的規範性文檔,唯一可能導致漏洞產生的,只能是人的操作未按照規範。
接觸安全的時間並不長,但是感覺,自己彷彿在某個時間點之後,就沒什麼進步了。一直裹足不前。之前很長一段時間很憂慮,沒有提升彷彿在泥潭一般。大的廠商基本很難找出問題,找出問題也是無關痛癢的小毛病。小廠商,沒做安全就是裸奔,很多時候一個免費的waf就能讓人放棄,轉而找下一個繼續。
這便是我所謂的web之困。長期的緩慢進展讓人越加浮躁,更想去追求什麼速成的辦法,想要提升,又哪兒會有什麼速成呢?苦尋無果,無法繼續縱向向前推進,只能尋求橫向能有突破。這段時間趁着貴州項目休息的空檔,在自己看一些代碼審計相關的東西,希望能從中找到突破的點,能打破被困住的局面。同時,後面準備學習安卓安全相關的東西,多方位多角度來考慮安全。
暫時就只能想到這兩點,確實很多時候因爲接觸到的東西還不夠廣,深度還不夠深,導致自己看不到更廣更寬的世界。安全的路很長,也很崎嶇,一個人走着很艱難,希望有志同道合或者相同困境的小夥伴一起!加油!
PS:有想一起努力的小夥伴可以在評論區留個聯繫方式。
