3年,說長也長,說短也短,以前在A3年,從公司的自建房十多人,到走的那時候,上百人,自主創業不容易,一路上說不出的艱苦,也算記錄了一個互聯網公司的發展壯大,而且據說聽聞發展壯大的也非常好,很有可能快掛牌上市了。以後跳到了一個招標方,通稱B公司,到現在,又做了3年,可是與在A公司不同,身處招標方,不單單是是分析網絡安全問題了,更重視的是維護公司的安全,促進安全建設。剛剛的那時候,公司五百多人,到現在快到一千八人。到公司的掛牌上市,也是人的一生較爲難能可貴的行業發展機會。有的那時候我經常說,我可能也是比其他人走運許多。
今日也算爲自己的3年做一個小結吧;最開始不太融入,新的環境,新的羣體,彷彿沒有互聯網公司大夥兒那樣熱情,大家都在忙着自個手工的工作,掌握公司的構架,掌握公司的安全業務狀況。可是和剛工作的那時候似的,充滿信心,熱情無盡。還記得剛到的那時候,也是對現階段原有的環境開展網站滲透測試,對於在承包方,而且“智勇雙全”的人而言,是較爲熟知的工作,最終也成功取得網站服務器管理權限,而且推動修補。以後逐漸轉化成業務環境上的一個釘,對業務上架開展系統安全測試。
在測試期內,瞭解了許多公司的職工,對發覺的漏洞交流修補,期內也發覺了許多的網絡安全問題。以後對裏外的安全性測試。滲透、安全性測試還算自個較爲拿手的,相較爲在互聯網公司,我反而感覺現階段的工作算較爲“清閒自在”。以後在安全性測試、滲透之外,也開始學習了招標方的安全建設,依據以前所掌握的、所看的開展DEV操作。安全性測試,在裏面的統一化流程中,當做當中的連接點,對上架的業務統一化安全性測試,務必修補網絡安全問題以後,纔可以上架網站滲透測試,對裏、外全部按時開展安全性測試,整理現階段的業務,開展安全性測試,以後創建了1.0版本弱口令掃描,無頁面,只有一個漏洞掃描系統的結果,對於漏洞掃描系統結果發送給發送給的人去修補,當中許多產品研發乃至沒有網站服務器管理權限,如果大家新項目上線前一定要網站滲透測試來對項目的整體漏洞有個足夠的認知和預控,國內做漏洞測試的公司像SINE安全,鷹盾安全,綠盟,啓明星辰等都是對漏洞滲透測試有着豐富的實戰經驗。
或是網站服務器選用集羣服務器佈署。2.0(已退出)的那時候運用了github開源的項目,開展再次開發,適用了主要的網站掃描、插件化掃描、服務端口號的弱口令掃描、業務統一化的SSO賬號掃描,適用漏掃模式,漏掃報告書、按時安全巡檢。2.0的漏掃,系統軟件開發結束,可是在掃描速率上、準確度漏報率、安全運營上面沒有做提升,選用的flask+mongo,故此內存喫的也較爲嚴重,一部分表沒做數據庫索引,造成開啓較慢,服務這類的HIDS類似可以更全的掃描,功能上相對來說笨重,漏掃插件化儘管有可是全是各種各樣CMS插件漏洞掃描系統,可是並非項目,漏掃落地式操作,掃描自個公司開發的業務,相對來說較弱。