安全顾问的经验之谈

[mylamour]

安全顾问

接触香港那边，开始了解整体的架构和技术方案。用的是php和golang， golang用于实现游戏的逻辑，php用于实现业务系统的逻辑，分别部署在一个私有机房的5台服务器上。web 服务器用的nginx，后盾数据用的mysql进行存储。服务除了各个系统服务和业务之外还有ipfs, rsync。当然这是比较中规中矩了。后来了解了下还没有负载均衡系统，等等都没有。

但是根据轻重缓急的原则，开始考虑。即重要又急切的肯定是要先做的。退而其次，不严重的又不着急的最后再去做。以保证公司的安全先得到基本的保障。

p> 然后了解一下买了WAF，但是没有CDN所以，所以先对设计基础架构，然后做其检测。因为时间原因，都是先从基础的来。至于办公内网的安全，运营这些肯定不是当务之急。 暂时列出来下面这些条目，同步进行。 - [x] 基础架构设计 - [ ] 安全配置与基线检查 - [ ] 业务代码安全审计 - [x] 服务加固和主机加固 (linux/windows, mysql等) - [x] 安全编码规范 - [x] 业务逻辑测试 按照我的套路来，基础架构肯定是先CDN->WAF走一遭到主机，然后主机挂上HIDS/NIDS，但是针对这种游戏类的业务，防刷肯定是必要的。做到这些，可以熔断，限流，或者降级。这样就需要一个API网关，但是并不是急需的。  其实如果是基于云的话应该做起来更方便一些。但是好在服务器数量并不多。所以做起来也不是很难。然后把安全编码的一些规范，和checklist也给了他们让去自检。同时那边整理了几个系统过来，我就随手测了一下，不测还好。一测发现了几个漏洞。看样子开发的水平应该是挺基础的。 ## 渗透测试 SDLChina的文档最初编写的时候，美图的史鑫磊把漏洞挖掘引起重视作为SDL落地的首要步骤，当时我就认为是不妥的。因为在尚未沟通的情况下，你就怎么知道领导不愿意帮助去推送SDL落地呢？但是在这此的事件中，发现渗透测试的确等引起重视，从而使高层决心从整个软件生命周期去保障产品安全。(但这永远不应该是第一步就应该做得，沟通才是最便捷的)。 下面渗透的14000系统的时候从一些报告中截的图。   手动触发后，发现有sql，用sqlmap跑出Post injection的payload，测试。   用户的个人信息修改之后，会在个人信息页造车xss，本想着这个用处不大，但是由于修改之后用户页也会显示，所以这样整个XSS的价值就变大了。通过其中任何一个用户就可以盗取所有用户的登录凭证。  越权导致可以删除其他管理员的，说明鉴权没有做好。早上的时候还发现了CSRF这个图就不截了，没在报告里。CSRF配着XSS简直了。 然后针对对应的漏洞提供了解决方法。还有几个系统，暂时不想测试了。这算是第一次做类似安全顾问角色的事情吧，还是挺有意思的 ## 总结 * 远程沟通存在一定的成本性，双方的协作能力可以使其降低到最小，但是远程工作还挺令人向往的。 * 存在误差的时候需要及时的纠正。 * 安全顾问在国内似乎并不是很多，查资料没查到什么系统化的。 * 老板说给点意思意思，一毛也没看到。所以，老板说话最好别信。 * 游戏是个很赚钱的行业。博彩游戏就更赚钱了。 ## 其他 交易所移交给深圳了，若留，应要跟着去深圳或者香港了。最初并不知道，突有一天就说要搬了。提了离职，面了两家公司。得垚哥推荐，拿了饿了么的offer。key是很有学识的了。可见好的公司用人总有他的可学之处。云盾那边和CTO聊了一次，后来二约就不想去了，也就没有再聊了。 这边一周左右交接完毕。然后老板打算给推荐到香港那边，是集团下面的另一家公司。按老板的话，是要先帮助解决下实际问题。虽然不打算去，但想想不如送个人情吧。 但事情总是很奇怪，因title引起的问题也是一言难尽，饿了么还能不能去也是个问题，心情波动有点大，记录一下用来缓解下心情。想想还是自己不够强，如果手里拿了10份一线互联网的offer，可能就不会这么感觉了。 写到这个的时候，我已经没有什么生气的了。提醒找工作的，不要被title坑了。真是吃一堑长一智。

[mylamour]

Update: 测了下15000上的系统也有许多漏洞 :broken_heart: