3年,说长也长,说短也短,以前在A3年,从公司的自建房十多人,到走的那时候,上百人,自主创业不容易,一路上说不出的艰苦,也算记录了一个互联网公司的发展壮大,而且据说听闻发展壮大的也非常好,很有可能快挂牌上市了。以后跳到了一个招标方,通称B公司,到现在,又做了3年,可是与在A公司不同,身处招标方,不单单是是分析网络安全问题了,更重视的是维护公司的安全,促进安全建设。刚刚的那时候,公司五百多人,到现在快到一千八人。到公司的挂牌上市,也是人的一生较为难能可贵的行业发展机会。有的那时候我经常说,我可能也是比其他人走运许多。
今日也算为自己的3年做一个小结吧;较开始不太融入,新的环境,新的群体,仿佛沒有互联网公司大伙儿那样热情,大家都在忙着自个手工的工作,掌握公司的构架,掌握公司的安全业务状况。可是和刚工作的那时候似的,充满信心,热情无尽。还记得刚到的那时候,也是对现阶段原有的环境开展网站渗透测试,对于在承包方,而且“智勇双全”的人而言,是较为熟知的工作,较终也成功取得网站服务器管理权限,而且推动修补。以后逐渐转化成业务环境上的一个钉,对业务上架开展系统安全测试。
在测试期内,了解了许多公司的职工,对发觉的漏洞交流修补,期内也发觉了许多的网络安全问题。以后对里外的安全性测试。渗透、安全性测试还算自个较为拿手的,相较为在互联网公司,我反而感觉现阶段的工作算较为“清闲自在”。以后在安全性测试、渗透之外,也开始学习了招标方的安全建设,依据以前所掌握的、所看的开展DEV操作。安全性测试,在里面的统一化流程中,当做当中的连接点,对上架的业务统一化安全性测试,务必修补网络安全问题以后,才可以上架网站渗透测试,对里、外全部按时开展安全性测试,整理现阶段的业务,开展安全性测试,以后创建了1.0版本弱口令扫描,无页面,只有一个漏洞扫描系统的结果,对于漏洞扫描系统结果发送给发送给的人去修补,当中许多产品研发乃至沒有网站服务器管理权限,如果大家新项目上线**定要网站渗透测试来对项目的整体漏洞有个足够的认知和预控,国内做漏洞测试的公司像SINE安全,鹰盾安全,绿盟,启**辰等都是对漏洞渗透测试有着丰富的实战经验。
或是网站服务器选用集群服务器布署。2.0(已退出)的那时候运用了github开源的项目,开展再次开发,适用了主要的网站扫描、插件化扫描、服务端口号的弱口令扫描、业务统一化的SSO账号扫描,适用漏扫模式,漏扫报告书、按时安全巡检。2.0的漏扫,系统软件开发结束,可是在扫描速率上、准确度漏报率、安全运营上面沒有做提升,选用的flask+mongo,故此内存吃的也较为严重,一部分表没做数据库索引,造成开启较慢,服务这类的HIDS类似可以更全的扫描,功能上相对来说笨重,漏扫插件化尽管有可是全是各种各样CMS插件漏洞扫描系统,可是并非项目,漏扫落地式操作,扫描自个公司开发的业务,相对来说较弱。