Open mylamour opened 6 years ago
记得之前面试默安,谈到最近在对接渗透测试服务时,云舒大大问了一个问题:寻求第三方测试前,自己为什么不先进行下渗透测试呢? 在我看来,攻防之道可以用八个字描述(ps:以我目前的菜逼境界): 轻重缓急,大小多少。
其他工作中,也无非如此。以下,本次对接渗透测试服务中产生的思考以及应急响应产生的思考。至于哪些漏洞的发现,直接看最下面的附录部分。
问题一: 渗透测试者的水平(未知的攻击能力) 经常可以发现渗透测试者的水平可谓是远近高低各不同,所以选到靠谱的渗透测试服务团队就是一个问题了,收费的话也是不一而足。但是我最不喜欢的就是被忽悠,当然任何一个人也都不喜欢被忽悠。这个忽悠不仅包括服务方,还包括老板。
问题二: 预算与老板的预期(未知的支付能力) 有的老板豪放,有的缜密。有的喜欢预付款,有的喜欢白干,然后付费。那么当你遇到这种需要预付费但是心思缜密的老板,毫无疑问。Go die。
问题三:公司内团队的防守能力(已知的技术能力) 不肯学习的菜逼一直都会是菜逼,笨蛋不会爆炸,一流员工招一流员工,二流员工招三流员工。防守能力,心知肚明。心里的B数很明显。 技术能力,以及互相协调的能力等等决定了防守的能力。
问题四:非防守团队的员工安全意识(未知的弱点) 很不幸的是,在第二次的渗透测试过程中,对方发现有员工的github信息泄露,测试环境的账号密码,均暴露了,虽然并不能访问,但是也还是泄露了关键信息。这部分的问题出现职责也在安全这边没有培训好。
问题五:程序根本上的设计问题(未知的代码能力) 代码中存在的漏洞是基础安全之外的一个重要切入点,产生的危害非常大。所以SDL的推动是必须的。这样才能从整个过程完善安全能力。
可以看到的是,整个过程中,已知的只有己方的技术能力。然后,很大程度上的在和未知的攻击对抗过程中失效。进行应急响应的时候,往往意味着,系统出现了问题。对方可能已经进入后渗透阶段了。此时应急响应的优先级应该排在首位(根据出现问题的严重情况,即出现的问题是否严重,涉及多少资产),去进行响应。此时响应的过程中面临的问题又有:
tips: 可是,你没有发现tmux可以绕过jumpeserver的命令录屏记录吗?但是如果备份到其他存储就不行了。
当前过程中我面临的问题:
记得之前面试默安,谈到最近在对接渗透测试服务时,云舒大大问了一个问题:寻求第三方测试前,自己为什么不先进行下渗透测试呢? 在我看来,攻防之道可以用八个字描述(ps:以我目前的菜逼境界): 轻重缓急,大小多少。
其他工作中,也无非如此。以下,本次对接渗透测试服务中产生的思考以及应急响应产生的思考。至于哪些漏洞的发现,直接看最下面的附录部分。
问题一: 渗透测试者的水平(未知的攻击能力) 经常可以发现渗透测试者的水平可谓是远近高低各不同,所以选到靠谱的渗透测试服务团队就是一个问题了,收费的话也是不一而足。但是我最不喜欢的就是被忽悠,当然任何一个人也都不喜欢被忽悠。这个忽悠不仅包括服务方,还包括老板。
问题二: 预算与老板的预期(未知的支付能力) 有的老板豪放,有的缜密。有的喜欢预付款,有的喜欢白干,然后付费。那么当你遇到这种需要预付费但是心思缜密的老板,毫无疑问。Go die。
问题三:公司内团队的防守能力(已知的技术能力) 不肯学习的菜逼一直都会是菜逼,笨蛋不会爆炸,一流员工招一流员工,二流员工招三流员工。防守能力,心知肚明。心里的B数很明显。 技术能力,以及互相协调的能力等等决定了防守的能力。
问题四:非防守团队的员工安全意识(未知的弱点) 很不幸的是,在第二次的渗透测试过程中,对方发现有员工的github信息泄露,测试环境的账号密码,均暴露了,虽然并不能访问,但是也还是泄露了关键信息。这部分的问题出现职责也在安全这边没有培训好。
问题五:程序根本上的设计问题(未知的代码能力) 代码中存在的漏洞是基础安全之外的一个重要切入点,产生的危害非常大。所以SDL的推动是必须的。这样才能从整个过程完善安全能力。
可以看到的是,整个过程中,已知的只有己方的技术能力。然后,很大程度上的在和未知的攻击对抗过程中失效。进行应急响应的时候,往往意味着,系统出现了问题。对方可能已经进入后渗透阶段了。此时应急响应的优先级应该排在首位(根据出现问题的严重情况,即出现的问题是否严重,涉及多少资产),去进行响应。此时响应的过程中面临的问题又有:
tips: 可是,你没有发现tmux可以绕过jumpeserver的命令录屏记录吗?但是如果备份到其他存储就不行了。
Other
当前过程中我面临的问题:
Resources