安全部

安全部
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
一个人的“安全部” LionZ2017-02-06现金奖励共1490521人围观 ，发现 62 个不明物体 企业安全安全管理
*本文原创作者：LionZ，本文属FreeBuf原创奖励计划，未经许可禁止转载

前言
我在某教育公司负责公司整体安全，保护6000多万“熊孩子”的安全。一年半的时间从什么都没到现在的逐渐成型，此篇文章进行了一个总结，期间也碰到了的很多坑和坎，这里再次感谢帮助过我的朋友们，感谢MottoInTeam小伙伴。由于涉及到企业攻防，有些内容的细节部分这里不方便展开。

对本篇文章有任何问题都可加我微信一起探讨 WeChat:atiger77

目录
0×01. 情况概述
0×02. 运维安全
0×03. 业务安全
0×04. 应用安全
0×05. 内部安全
0×06. 总结

0×01情况概述
公司产品主要是一款教育类APP，后面我会分运维安全、业务安全、应用安全、内部安全和碰到的问题以及解决方法进行展开。如果你的公司像我一样只有一个人或者几个同学负责，我建议把重心都放在存在的安全问题上，比如业务场景中的薅羊毛，刷单等，用户模块的扫号，盗号，业务安全线的安全测试等。先处理这些直接会带来损失的安全问题再逐渐完善，一点点进行横纵向扩展。

0×02 运维安全
刚入职所在的公司因为没有安全部门，我是运维安全的岗位进入了运维部。我在原有的基础上又做了一些安全提升，这里提一点如果公司没有安全同学，对于运维同学而言，把控好安全基线也可以在一定程度上抵御一些攻击。

devops里的一些运维自动化工具比如ansible, saltstack,puppet等，以ansible为列在初始化的role里就规定安全的基线，如：SSH禁止ROOT登录、修改SSH默认端口、禁止密码登录、新建普通用户、设置别名把“rm -rf”类似命令进行替换等等。保证交付给开发的机器都一样，比如软件的安装目录，由于历史原因有一些记录上的环境都是开发自己安装的，导致会出现很多个nginx目录，处理起来非常烦需要确定到底运行的是哪一个目录下的nginx才可以继续操作。当然建议公司使用堡垒机，上了之后对权限的管控对服务器的安全又可以提高一个保障，之前也调研过目前堡垒机情况，具体的可以细聊。

除了服务器，数据库的初始化也同样重要，初始化只给开发普通帐号并赋予对应权限，设置连接白名单不允许非名单机器进行连接，密码一律多位数复杂密码。

作为安全运维这块必须记录所以外网IP及对应端口，所以服务器对应的服务，由于每个公司情况不同，有些是安全部记录有些会是运维部把控，根据自己的情况来即可。

a. 外网IP及对应开放端口
除了解析商那里的记录自己必须保存一份最新的，之前碰到过一个情况自己在做外网IP扫描的时候发现有一个IP开放了一个端口，爆破发现使用了弱密码，平台的内容会对公司造成影响，先停止这个转发通知开发进行整改。

对于这种情况有两点，一是严格把控要求外网IP的要求，对于一些敏感业务若没有经过安全测试不予提供外网访问。二是记录所有外网IP及开放端口情况，有相关自己平台的可以添加一页，没的话可以记录到confluence中即时更新。

b. 服务器对应提供的服务
这些年爆出了大大小小一堆的漏洞，每次收到还都是下班以后orz。具体漏洞修复方法这里就不具体阐述了，有兴趣可以看之前写的一篇文章：http://www.mottoin.com/92742.html

每一次高危的漏洞都是对安全人员的一次考验，就是和时间赛跑晚一点服务就可能被黑，这里主要讲一下我从收到漏洞预警到处理的一个流程。

收到漏洞预警到处理的一个流程

获取漏洞信息

可以多订阅一些高质量的公众号，加一些相关的安全群尽量第一时间 能知道哪个服务出了问题，收到的消息越早越是能给自己留多一点时间。

确定漏洞影响范围&严重性

收到信息之后就要确认漏洞的影响和范围，这个服务公司是否部署，部署的是测试环境还是生产环境，分别有多少台，漏洞的触发条件是否苛刻，造成的影响有多大等问题，如果自己无法判断漏洞严重性的话可以多和朋友交流沟通，不要盲目的去修复升级，某些版本升级好性能兼容性可能会出现问题。对于影响范围之前也点到过必须记录服务器上部署的应用，在漏洞出现后可以快速定位而不是问开发你有没有部署xxx服务，我是记录在了运维的CMDB中

内部测试

我举两个漏洞为列， 一个脏牛漏洞，一个应用漏洞。

脏牛漏洞的影响力不言而喻，除了本地使用容器服务的同学记得要把baseimage也做对应的升级。确定了严重性以后找出公网提供web服务的对应机器，先用长亭的方法做线上应急操作。然后找对应补丁对内网测试环境进行升级测试，由于是内核漏洞观测的时间比较长确定没问题在一点点的升级其他主机。

某应用漏洞，由于这个服务不对外提供服务所以紧急程度没有脏牛来的这么紧，同样的找一台测试机器安装高版本确定不受影响后让测试同学帮忙做压测，看新版和旧版性能差异，如果没问题就上一个下一个直至全部升级完成。

上线观测

这里切记，并不是上线就没事了，上线之后必须再做一次复测确定没有问题并持续观察服务稳定性，做好随时回滚准备。

0×03 业务安全
只要公司到一定规模了都会碰到这些情况：扫号，撞库，垃圾注册，刷单，刷券，羊毛党，竞品攻击，DDOS等等。

先说DDOS，根据一年的情况发现到年前年后，熊孩子开学，活动上线都是DDOS的高发期，对于流量攻击我们选择了一家做流量清洗业务的公司帮助我们做恶意流量的清洗，关于具体选型的话可以私聊。

接着说一下对其他情况的处理，这些情况都是互联网公司常见的现象，只要规模上去了，有利益可以拿就会被攻击。想有效的去发现异常，阻断异常需要一个完善的风控平台，我讲一下我这边风控是怎么做的以及碰到的一些坑和对应接的方法。

首先要知道做风控是为了解决已经出现的安全问题并能即时的阻断，刚开始做不要盲目的模仿大公司的玩法，大公司有自己专门的团队去做这个，盲目的模仿不但没解决问题反而起到了反作用，一开始做也别想着可视化，可视化是在功能都成型了要向上级展示的时候在考虑的东西。找到出现的问题，溯源问题的原因，并采取对应的策略。

做风控必须要有数据，没有数据的支撑是无法做风控的。关于数据我的理解是这样：风控使用到的日志有别于BI日志和业务日志，安全日志是可分析异常用户行为，攻击趋势的增长情况，最后做到先于攻击者进行阻断保护系统安全稳定。在和公司相关同学沟通的时候他们也会问一些问题，我总结了下。

Q：安全日志 和 应用日志 以及 BI日志 有什么区别？

A： 共同点：三者都是记录业务产生的动作行为。

不同点：应用日志本身只是查业务是否正常性能是否达到预期，切重于业务本身。

BI日志根据事前埋点收集用户行为进行分析为各个部门提供相关数据分析，如事件漏洞，转换率等等。

安全日志主要记录安全相关信息，细化到哪一个用户在哪里用什么设备进行了什么动作并尝试了多少次，切重于业务安全。

Q：有了BI日志还需要安全日志嘛？

A：需要。首先BI日志目前没有涉及到公司所有业务，BI的日志并不是为了安全而生更重要的是为其他部分提供数据支撑，从而更好的掌握用户需求。

安全日志和BI日志必然会产生交集，然而这并不冲突。对于风控策略而言安全日志是实时可查看的，第一时间可以知道当前时间的状态，BI日志是事后进行统计数据广度更大，两者结合更能保障业务的安全。

Q：安全日志主要记录哪些内容？

A： 安全日志需要记录谁在什么时候用了什么东西干了什么结果是怎么样，等一连串用户纬度指标。

和相关同学都达成共识以后就可以开始执行了，我使用ELK对日志进行收集分析，logstash_agent把安全日志output到redis中，再由一台logstash_indexer取redis中的数据output到ES集群中，最后通过kibana进行展示（安全日志的格式，部署等细节可以私聊不占太多的字了）。

有了数据以后通过kibana的聚合就可以发现异常的问题了，由于牵涉到相关数据我就不截图了，以用户模块为例就可以有很多的判断纬度，仔细观聚合后的数据就可以发现对应的安全问题，那么这些纬度大部分都是基于行为的判断，除了行为的还有基于特征的，比如用户的手机号是否执行过欺诈行为，我测试过某安的反欺诈产品结果还不错。以上这些都是不同的规则有基于行为的也有基于特征的，规则都是一个判断的纬度但不是触发了规则用户就一定不好，为了降低误杀率我们会给规则定分数，当一个用户总分到了阈值那么会直接对他做功能限制等操作，如果触发高危动作也会直接阻断，具体策略每个公司都不一样根据自己实际情况制定即可。

如果有人力的话也可以把日志导入到Storm里根据自己的需求用bolt去做一些统计，要高可用的话推荐用flume+kafka+storm的架构去处理。我现在是使用Python去进行分析处理，根据自己情况选择一个合适的即可。

当我这边的程序发现异常时会自动的给用户打上对应标签并同步到BI的系统中进行记录，同时为了不给客服同学带来压力这个标签也会同步到客服后台中方便她们进行查看。

讲一下羊毛党，有了风控数据我发现每天都会有恶意注册，反溯这些帐号以后发现这些号里都有我们的活动券，根据活动券内容确定是哪个活动，询问相关产品活动规则策略，询问开发活动页的校验机制并自己黑盒在测试下，确定不是因为漏洞导致的就开始做自己的提升，风控就是一个攻防的对垒。

对应措施：

a. 提高注册门槛；机器识别，人机对抗，验证码机制

b. 修改产品策略；调整产品策略，

c. 优化风控规则；异常情况短信认证，

对应措施及流程

对抗羊毛党是个长期的过程，随着你的机制升级了，他的机制也会随之升级，就是成本和利益的问题，那对于甲方来说就是不断提高自己的门槛增加攻击的成本，把实惠给到真正的用户上。

现在也有很多安全、风控团队在分享的时候会讲到机器学习，通过设定的模型来判断异常用户，但是具体分享细节的比较少，由于公司里很多机器学习方面的科学家，向他们学习以后我这里把我用到的一些机器学习方法和大家分享一下。

机器学习方法

我觉得在风控中机器学习的优势在于，基于大数据不断的提炼调优模型会越来越完善，可以通过训练后的模型找出一些规则没有命中的异常用户，在逐渐的完善规则。之前有看到过有同学用随机森林去判断异常流量的，我自己有一个模型是判断注册用户是否异常的，模型的分数如下：

p04.png

可以看到模型跑出的分数很高，我的样本是根据规则判断的，所以最好的情况结果就是逼近规则，需要一直对模型进行迭代去提炼更多的规则，继续调优参数，让模型判断不单单限于几个限定的样本规则。

0×04 应用安全
由于只有一个人，SDL在公司很难去推行，快速迭代的版本上线每次检测到的漏洞一问都已经上线了好几个月，这也是挺被动的一点。

开发的安全意识和水平都不一样，也出现过线上业务出现SQL注入的问题，我是搞过一次全员的技术分享，讲一下主流的一些WEB漏洞和一些逻辑漏洞，让开发有一个印象。

我主要这样做记录开放公网的web服务每周都用扫描器去跑一次，对于大版本的升级我会自己再测一次。前段时间同程开源了一款内部漏扫工具-巡风挺不错的，也希望有越来越多的安全公司开源一些好的项目。

内部漏扫工具-巡风

备注
项目地址： https://github.com/ysrc/xunfeng

Medicean Docker版本：https://github.com/Medicean/VulApps/tree/master/tools/xunfeng

Atiger77 Docker版本：https://github.com/atiger77/XunFeng_Docker

详细介绍&&ubuntu安装方法可以看:http://www.mottoin.com/94253.html

公司主要的产品是app，对于移动端的反编译这块我不是很熟悉找了一家公司做过渗透测试，测试下来也会发现一些问题，和公司安卓的老司机交流以后确定修复方案。端的东西加固就是让攻击者恶心，真的要破解理论上都是可以的毕竟所有人都可以下载研究，只是增加攻击者的破解成本。

APP的反编译主要还是针对安卓，网络层面用https+ Pinning在一定程度上增加了抓包的成本（IOS市场将不再支持http协议的app，如果还没升https可以尽早升级），端的加固主要是保证apk不能被重打包，主代码做混淆，公共调用部分做人工混淆，so文件不允许被调用，不允许模拟器调试等等的加固手段。

APP的升级不像网站，修复漏洞以后测试过就可以上线（有些框架支持动态更新），移动端会有版本问题，用户用着有问题的版本除非系统大的升级否则不会让用户进行强更（太影响用户体验了会导致用户流失）。对于APP的情况可以这么做，降低低版本的功能使用限制。对过低的版本使用人数也少的可以要求产品进行强制升级的操作。

最后说一下数据存储问题，最近一直会流出被泄露的库有些库密码就是简单的Md5+salt，撞库一下就可以跑出大量的用户密码，无论是对企业还是用户都会造成伤害，有能力的话还是建议设计加解密服务专门有一台机器进行加解密计算，把用户的敏感信息（任何能联系上用户的信息都算敏感信息，不单单是密码）进行加密，这个我是没推成功，因为收益在不出事前很小甚至是没有，如果这个推送不动还可以推一下加密方案，关于加盐每个用户应该使用随机盐的方式进行加密存储，目前大部分的公司都是使用固定盐的方式来生成每个用户的密码。这个改的话都需要和业务方进行深入沟通，如果在项目刚启动需求讨论的时候就提出会很好，一旦项目起来了再改会比较困难。

0×05 内部安全
内部安全说两方面，一个是内部访问的一些系统比如XX后台，这种可以查看到敏感信息的平台。另一个讲一下人员的安全意识和办公网的安全。

第一是内部的平台，重要的内部平台也需要做安全日志对于一些高危规则做到实时的报警，如果没有WAF的可以使用脚本简单模拟一下，比如单位时间内调用登录接口等行为做一个报警，设计到修改金额的面板必须做到实时的记录。含有查看用户信息功能的平台需要记录使用者的操作日志，方便做到审计，和开发同学确认做好权限把控，要对这些平台做好安全保障。对于数据库而言可以做蜜罐表，一旦有触发也立刻报警。内网可以部几台低交互的蜜罐挂着，之前有写过一个有需要的朋友拿来改改就能用https://github.com/atiger77/Dionaea。

第二个是人员的安全意识，入职这家公司以后做的就是内部安全的提升，统计了下第三方对外的平台然后社工了下几个同学一个个破掉他们的帐号并发出邮件告知（授权行为进去截个图就可以了）。然后要求对所以外网的一些平台都要求二次认证。内部的话每次新同学入职都会加入网络安全，给他们讲讲一些常见的诈骗方法提高自身的安全意识。还有一个，定期扫github上的代码，发现有自家业务代码的直接让他下线，有时候也可以发现一些竞品公司写的代码，厉害了。

0×06 总结
我把这一年半的东西都简单概述了下，颗粒度再细的可以加我微信聊。总结了几点：

1. 没有老板支持一切都是吹牛逼；从上往下推和从下往上推是两个概念；

2. 先做最紧急的需求，全部解决以后再考虑可视化；东西丑不重要 关键是管用，东西再好看解决不了问题也是白搭；

3. 必要时可考虑商业化产品/合作，如堡垒机，渗透测试等；

4. 统计公司相关资源如外网IP,机器部署服务，别到了漏洞爆发在去问开发你的机器有没有部署XX服务；

5. 做好外部控制别忘记做内控，有时候内部安全事件比外面攻击更可怕；

6.多和公司老司机聊聊天，你碰到的一些坑他们可能也遇到过，一些架构上的设计、冗余、优化方案都可以多找他们讨论下；

每个人的精力有限不可能什么都面面俱到，多和公司的老司机交流有些东西他们可能都接触过了，没事找他们吃吃饭交易交易会有意想不到的收获，比如告诉你Strom的任务优先级控制，架构的选型问题，机器学习的一些玩法等等。在没有人力的情况下不要一味地模仿大公司的玩法，找到自己公司出现的问题并着手解决，必要的时候可以借助外部的力量（前提是你公司有预算）。

“你之所以看不见黑暗，是因为有人拼命把它挡在你看不见的地方。”向所有做安全的好同志致敬。

*本文原创作者：LionZ，本文属FreeBuf原创奖励计划，未经许可禁止转载

LionZ
LionZ
2 篇文章
等级： 2级
||
上一篇：我与学校SafeConnect软件斗智斗勇的经历下一篇：那些年我们“投（shua）”过的票（续）
这些评论亮了

langyajiekou (6级)回复
没有老板支持一切都是吹牛逼，没出问题是你应该的，出了问题你要自己扛，都是你的错！
)61(亮了

softbug (7级)i am here!回复
我没有怎么关注你的文章内容，但写了这么多，感觉的确很辛苦。你就差把技术的活也一起干了。 开年了，如果有可能，还是建议你跳了算了。
)41(亮了

LionZ (2级)>这里过滤了xss,,回复
上海地区有招业务安全风控方向的公司可以加我哈Wechat:atiger77..
)31(亮了

BOSS 回复
安全很重要，公司也很重视，你要好好干，人嘛，现在加不了。
)30(亮了

evil7 (5级)入梦落樱满熏香，梦醒犹记四月谎回复
巧了，我现在就是一个人的“网络宣传部”，累得一比，全靠情怀和毅力支撑。
)15(亮了
发表评论已有 62 条评论

走火入魔 (1级) 2017-02-06回复 1楼
开车开车

亮了(8)

LionZ (2级) >这里过滤了xss,, 2017-02-06回复 2楼
上海地区有招业务安全风控方向的公司可以加我哈Wechat:atiger77..

亮了(31)

big car 2017-02-06回复
@ LionZ 车技不错 秋名山 上 qun：237081885

亮了(7)

big car 2017-02-06回复
@ LionZ 车技不错 秋名山 上 qun：2 3 7 0 8 1 8 8 5

亮了(4)

秋名山群237081885 2017-02-06回复
@ LionZ 就差你了

亮了(6)

CYlar (3级) 2017-02-07回复
@ LionZ 6000万做关键字一搜就…老哥跳槽稳着点啊别先被恶心了

亮了(6)

langyajiekou (6级) 2017-02-06回复 3楼
没有老板支持一切都是吹牛逼，没出问题是你应该的，出了问题你要自己扛，都是你的错！

亮了(61)

llopppp 认证作者(4级) FreeBuf认证萌物 专业的卖萌 不专业的前端Java 2017-02-06回复 4楼
:roll: 没有老板支持一切都是吹牛逼！！！！

亮了(11)

evil7 专栏作者(5级) 入梦落樱满熏香，梦醒犹记四月谎 2017-02-06回复 5楼
巧了，我现在就是一个人的“网络宣传部”，累得一比，全靠情怀和毅力支撑。

亮了(15)

fuckbaidu 2017-02-06回复 6楼
一个人的“安全部”+ 1

SDL流程搞出来了，开发也不鸟你就是不实行，该咋搞咋搞

没BOSS支持，玩个屁

亮了(10)

爱学习的熊孩子 (1级) 这家伙太懒了，还未填写个人描述！嗯，太懒没写。反正我信了。 2017-02-06回复 7楼
对于rm的防范，感觉trash-cli可以尝试。

sudo的严格控制

亮了(7)

softbug 认证作者专栏作者(7级) i am here! 2017-02-06回复 8楼
我没有怎么关注你的文章内容，但写了这么多，感觉的确很辛苦。你就差把技术的活也一起干了。 开年了，如果有可能，还是建议你跳了算了。

亮了(41)

Fiend520 (7级) 2017-02-06回复 9楼
关键看看老板是真支持，还是乱支持，如果是乱支持还不如不支持哈哈

亮了(9)

x1aoh0n 专栏作者(3级) 403 forbidden city 2017-02-06回复 10楼
觉得博主写的文章蛮干货的~

求一波“优质安全公众号”啊，博主或者各位大大有没有推荐的~获取第一时间漏洞信息的渠道。

以及博主说的 收到漏洞预警信息后的处理流程 第三步内部测试什么意思?把漏洞修复后进行测试？还是测试是否存在漏洞？

亮了(8)

黑客小平哥 2017-02-06回复 11楼
这样一个人搞会不会累死

亮了(6)

zuisengxw (1级) 2017-02-06回复 12楼
也一个人在运维部搞一个公司的安全，差不多半年，啥安全相关的都得搞，制度流程、等保、网站、app、系统，打补丁还得自己上，安全状况高层不怎么关心也不给预算，蛋疼！好在直属老大人很不错

亮了(6)

langyajiekou (6级) 2017-02-06回复
@ zuisengxw 没有预算搞屁的安全。越搞越不安全。

亮了(5)

zuisengxw (1级) 2017-02-06回复
@ langyajiekou 所以蛋疼，提需求要么被否要么不给预算就让先去折腾，能不花钱最好，唯一满足的需求还是老大从买服务器的钱里挤出来的

亮了(4)

咸蛋 (2级) 2017-02-06回复
@ zuisengxw 这个深有同感啊，其实关键看重不重视

亮了(4)

男装搭配日记 2017-02-06回复 13楼
地址>>图1：图2：图3：图4：图5：图6：图7：图8：图9：

亮了(5)

GeekPwn 2017-02-06回复 14楼
“你之所以看不见黑暗，是因为有人拼命把它挡在你看不见的地方。”good

亮了(10)

adrain (1级) 2017-02-06回复 15楼
安全要搞的东西太多，一个人肯定不行的，

亮了(4)

yayo 2017-02-06回复 16楼
一个人的话那不得累死呀

亮了(2)

archas (1级) 2017-02-06回复 17楼
1. 没有老板支持一切都是吹牛逼；

这个是关键，对于小一点的公司来说，安全总是放在最后的要求，要确保业务通畅…

亮了(3)

sunshineboy 2017-02-06回复 18楼
啊～～～这个情况和我80%相像，正好可以参考今年的工作安排 ，谢谢分享。 :!:

亮了(3)

BOSS 2017-02-06回复 19楼
安全很重要，公司也很重视，你要好好干，人嘛，现在加不了。

亮了(30)

xmkezhan-123 2017-02-06回复 20楼
哇哦，好牛逼，那个呆狗，我点了博主的链接！

亮了(1)

_等一分钟 2017-02-06回复 21楼
转发微博

亮了(1)

厦门-Robert (1级) 2017-02-06回复 22楼
不错不错，有的点，值得学习哦！

亮了(1)

ZMOM1031 2017-02-06回复 23楼
[doge]你可以写一篇一个人的无线电安全

亮了(1)

naive 2017-02-06回复 24楼
说这么多有什么用

亮了(1)

dean 2017-02-06回复 25楼
成立个src吧，这样就不孤单了，哈哈

亮了(1)

0xroot 2017-02-06回复 26楼
黑暗还能挡住？我读书少[笑cry]

亮了(1)

聆听雨振 2017-02-06回复 27楼
我仿佛看到了一个人在深夜应急各种漏洞。。。

亮了(2)

猪屎哥1352 2017-02-06回复 28楼
你之所以看不见黑暗，是因为有人拼命把它挡在你看不见的地方。

亮了(2)

yibaini 2017-02-06回复 29楼
人家就一个人 也挖

亮了(1)

iceyes老马哥哥 2017-02-07回复 30楼
就是上次那个哥们吗？

亮了(1)

bit_4_ 2017-02-07回复 31楼
师傅一个人干了几个人的事，厉害得很，能做的只有帮转了77师傅的，要顶。记得欠我一顿饭，哈哈哈团队老司机,.上海地区有招业务安全风控方向的公司可以加Wechat:atiger77..

亮了(1)

LionZ (2级) >这里过滤了xss,, 2017-02-07回复
谢谢bit师傅

亮了(1)

YYtang (1级) 2017-02-07回复 32楼
我和你的情况差不多，向你学习一下，能不能加个qq，和你多交流一下？

亮了(1)

LionZ (2级) >这里过滤了xss,, 2017-02-07回复
加我微信把, atiger77

亮了(1)

tongsens (1级) 2017-02-07回复
@ YYtang YY大神，求带

亮了(1)

YYtang (1级) 2017-02-07回复
@ tongsens 童大神这是折杀我了

亮了(1)

小编小弟 2017-02-07回复
@ YYtang YY大神求带

亮了(1)

Larry liu (1级) 2017-02-07回复 33楼
厉害，学习了，也是一个人的“安全部”，建议楼主针对类似情况的人建个群，互相交流！

亮了(2)

111 2017-02-07回复
@ Larry liu +1

亮了(1)

小明 2017-02-07回复 34楼
很佩服这种一个人跟一个团队刚正面，事必躬亲，让我想起诸葛亮……没招到人不要紧，别遇上猪队友就好

亮了(5)

xo 2017-02-07回复 35楼
这又当爹又当娘的。。。 关键 还不懂事。。。。 跳吧。。。

亮了(1)

一月的周先生 (2级) 2017-02-07回复 36楼
弱弱的问一句能否拜师学艺？

亮了(2)

nbawrl (3级) 2017-02-07回复 37楼
一个人是不好搞，信息安全如果没问题就没有存在感，有问题就得挨呲

亮了(3)

蓝色di雪球 2017-02-07回复 38楼
人才外包好像没有安全人才，安服又太贵，扫描器扫一下出个报告就要几千块，人工安全测试更贵。而且乙方做安全，合规性的东西又太多，实际上用处不大。不如自己找个略懂的来，文章中的同学已经算非常非常不错的了，大多数远远不如他技术好

亮了(4)

xxxxxx 2017-02-07回复 39楼
小伙子，有空来我们公司看看。一个人也要挖走的。

亮了(2)

墨霝 (3级) 2017-02-07回复 40楼
同样是一个人。。老板支持你能做很多，不支持，研发一个同事就能怼得你不要不要的。

亮了(1)

solomon 2017-02-07回复 41楼
一个人的“安全部”+1

亮了(2)

同行 2017-02-08回复 42楼
6000万学生数？哪个公司？新东方、好未来的用户数也就不到400万，太假了

亮了(4)

Shell. (1级) 2017-02-08回复 43楼
好文!同样是一个人的"安全部".

亮了(1)

changanbaoxian (1级) 2017-02-09回复 44楼
同是一个人在挣扎，很佩服作者的能力和毅力。预算不足，人力不足、意识不足、支持不足，感觉快撑不住了。

亮了(1)

smilent 2017-02-13回复 45楼
贵司 VIPKID吧

亮了(1)

头疼 2017-03-29回复 46楼
独自支撑安全部门2年了，独自挖洞，太他妈枯燥了，现在在做自动化挖洞

亮了(1)

范海辛之歌 (1级) 2017-08-01回复 47楼
感谢分享~受教。

亮了(0)

vforbox 2017-11-27回复 48楼
关键看看老板是真支持，还是乱支持，如果是乱支持还不如不支持哈哈

亮了(0)

anghao (2级) 2018-01-04回复 49楼
表示 一个人刚一个部落,干不赢也要拉下几个,不然电脑白费

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
LionZ
LionZ

>这里过滤了xss,,

2
文章数
9
评论数
最近文章
验证码安全那些事
2017.04.14

一个人的“安全部”
2017.02.06

浏览更多
相关阅读
【BlackHat 2017】安全“两会”Black Hat与DEF CON大会这20年来的变迁：不只是规模在扩大SD-WAN领域16个热门网络产品【BlackHat 2016专题】黑客奥斯卡：Pwnie Awards那些事儿移动平台流量黑产研究：色情播放器类恶意软件产业链观点 | 浅谈信息安全建设与ISO27001体系的结合
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank