由于微信公众号推送机制改变了，快来星标不再迷路，谢谢大家！

现状

甲方当前普遍现存问题为，漏洞复现容易但反复发生。虽有对应安全培训、开发自测推动效果不明显。需从根源解决问题，持续跟踪效果。现针对现状分析漏洞成因如下：

1）漏洞产生 开发不懂安全原理，不知如何在代码中规避问题，坚守岗位写需求却无意成为“bug”制造者。

2）产生原因 针对内部漏洞分析发现，同一类型事件反复发生，可通过开发自测即可规避。此类事件特点：相同漏洞类型、共同触发点，测试用例均为常见的攻击语句，测试难度较低无需拼接即可成功。

3）漏洞修复 漏洞修复方案较为通用，开发看不懂、无从下手。需要转换为开发听得懂的“语言”给出合理方案，开发方能尽快修复与规避。特点为：安全认为方方面面俱到，解释清晰。开发认为文字较多较专业、不知所云。

4）漏洞规避 目前采取安全开发培训，用于普及安全知识、增强开发对安全理解、历史安全事件及危害等，但目前培训效果甚微。分析原因如下：

参加培训的人员多为开发部门领导要求而不得已参加。

开发需求较多，任务繁重。开发领域自身知识面都有所欠缺，业余时间投入开发学习知识、提升专业能力时间尚且不够。再学习安全知识，若非兴趣所致，实在难以做到。

参加跨部门培训，大家普遍关心的问题是：这是什么？跟我有什么关系？需要我做什么？具体怎么做？达成什么效果？做了有什么好处？不做有什么后果？

目的

针对当前现状，实现漏洞合规可从以下三方面来进行考虑。减少漏洞、增强合规、效果跟踪。

2.1 减少漏洞

减少漏洞事件从已知、未知两方面来解决这一问题。

1）现有漏洞消除。应建立安全运营日常任务，用于跟踪是否按时修复。对于不能修复问题做出记录，不会修复问题做出解答。

2）未知漏洞防御。从平台整个生命周期中参与人员角色来分析，针对每一角色逐一分析如何做才能做到未知防御。角色分别为：制造者-开发、防守者-安全、维护者运维、使用者-用户。具体分析如图：

2.2 增强合规

漏洞产生无非是代码编写、环境配置不合规。

1）代码由开发产生，所以从开发角度出发，以对方关注的问题：是什么、做什么、怎么做、收益，将安全用通俗易懂的方式来查漏补缺，以达到懂原理、会自测、能规范、可修复的目的。

2）环境由运维产生，在运维过程中保障环境合规。具体如何做能增强合规性，详情如下：

2.3 效果跟踪

为确保完成效果，需针对现有方案进行效果跟踪。从前期安全培训、开发标准规范、中期安全自测、后期安全监控进行全方面跟踪过程。

解决方案

为达到减少漏洞、增强合规、效果跟踪的目的，现做出如下解决方案：

3.1 丰富安全产品

经分析，现有产品缺少如下内容，可自动研发以下安全产品来达到安全自测、安全监控、效果跟踪的目的。

3.1.1安全监控产品

1）外部监测工具 使用dirsearch扫描外网敏感文件

2）威胁情报工具 威胁情报自动匹配内部资产使用相同组件，对该疑似影响资产进行自动预警。

近期爆出gitlab漏洞的payload，知道受影响的版本，但并不能知道公司内部资产范围。若是能联动运维那边资产，即可得出疑似影响资产、IP进行提醒升级。

3）攻击链可视 可利用现有waf数据分析出如下所示攻击链。关于攻击者信息可接入微步在线接口，也可展示其他信息。使得某个IP攻击发生时，最快速度进行核查与封堵。

4）静态扫描工具 针对js、swf等通用漏洞发生时，针对某个域名爬取js文件找出所有静态文件并进行深度扫描，不仅局限于当前文件夹。从而进行关键字匹配等需求。经测试linkfinder开源产品匹配度较高，但仍需定制开发。

5）演练协同指挥 攻防演练期间追求”无快不破”，力求第一时间发现问题IP并及时封堵。根据该风险IP进行溯源分析，提交溯源报告。每年护网均劳神劳力24小时值班，护网成果以纸质材料呈现。为响应数字化转型的号召，此时可将斗鱼多年攻防、护网经验进行整合，形成自己的封禁库、溯源库，另外使用演练协同指挥，输入IP可自动调取WAF数据、历史攻击数据及时间、IP基本信息、同站信息等都将自动获取，从而将运维经验转为实用产品。

3.1.2效果跟踪产品

现有产品中缺乏对安全培训的效果跟踪，现需要自研需求如下：

1）培训内容、培训课件、参会人员信息等录入

2）考试试题录入、在线考试、考试成绩

3）问题反馈、疑难解答。这些内容都可进入数据库，成为智能机器人自动解答的问题。

3.2 加强内部安全运营

3.2.1 参加设计评审

问题越早发现，代价越小。参加设计评审过程主要用于讨论设计逻辑、可行性等问题，据设计方案给出安全选项表，由项目经理确定安全选项表的内容是否需要。

无需参加无休止的小版本更新，只需参加项目初建期的设计评审。

安全选项表内容如下：

3.2.2 漏洞修复跟踪

近1年内，有n个延期未修复漏洞，其中x个均为备注漏洞不能修复的原因。需加强跟踪，使之成为安全运营日常任务。

3.2.3 易懂修复方案

跨部门解决问题，需转化为开发听得懂的方式来思考。以下为当前内部安全漏洞给出的SQL注入解决方案，看完后并不确定如何做能全面修复。

开发最想知道代码加上哪几行就可以解决问题，解决问题的根源是什么，比如将字符设置为整型。此时可与开发共同商议通用过滤函数，用以过滤xss、sql等通用问题，避免问题再次发生。

1.梳理目前使用的开发框架

2.沟通目前sql注入、xss防护措施

3.给出通用函数编写建议

4.针对通用函数进行测试是否通过

3.2.4 智能机器人（企业微信）

将安全小助手或组内解答的疑难问题进行汇总，形成自己的智能库，让企业微信机器人自动解答。可参照如下来实现：https://zhuanlan.zhihu.com/p/47953433

3.3 提升外部安全运营

3.3.1 举办线上活动

具备组建SRC能力的甲方，可举办线上活动。活动举办次数、奖励高低与漏洞直接挂钩，可一年举办至少6次线上活动。时间节点分别为：春节、情人节、端午、周年庆、国庆、双十一。

3.3.2 参加线下会议

一年至少参加1次线下会议或公司拜访，用于学习前沿安全思路，与甲方间沟通学习企业安全建设。

3.3.3 高校宣讲

高校学生可作为白帽子新鲜供血，也可宣传甲方安全团队，欢迎加入。

3.3.4 花样活动

通过举办花样活动，增加曝光率。

1）自由组队，5人成团，打王者荣耀游戏。参与奖也有奖励

2）参加线下活动，进行现场直播转发各个安全群，使不能到场的人员通过直播参会

3）定制礼品，最快组成者有奖励，提交有效漏洞者才可参与。

4）新年或端午等节日礼品可为礼品盲盒，分为3、6、9等，数量、质量均不一，由运气所得。白帽才可参与。

5）转发文章有礼，评论后点赞数最高等，有礼品。均可参与

3.3.5 技术分享

团队内部1个月，1人分享1次。

开办企业安全应急响应公众号，可通过编写安全技术文章发表在公众号来扩大SRC影响力。

3.4 技术能力提高

3.4.1 团队内部分享

安全团队以共享盘、内部分享平台等，将内部文档上传至分享，可进一步加强分享确保团队共同进步。周期可以是1个月，1人分享1次

1》针对某一类漏洞复现难度较大漏洞进行线下技术分享。

2》工作过程中掌握的新技能、新技巧进行分享。

3.4.2 安全编码规范

制定安全编码规范，用于开发能在源头避免问题发生。

3.4.3 业务安全防范

从业务角度出发，开发应在某一业务功能进行预防哪些漏洞。可以思维导图或文档形式呈现，展示在知识库。

3.4.4 安全测试用例

1》定位：简易安全自测用例，不涉及需语句拼接绕过的情况

2》目的：仅为满足简单安全自测要求，在开发阶段消除21.5%的简易漏洞。

3》需求原因：经分析漏洞利用难度不高。简单payload占总漏洞数量的70%，证明可在开发阶段消除

4》简单demo:

3.4.5 漏洞原理及利用

针对WEB漏洞TOP10进行编写漏洞原理及利用教程，以文档形式呈现，展示在知识库中，开发可根据自己需要进行自主学习。

3.4.6 简易漏洞演练靶场

Bwapp比较满足初学者的靶场，百度能直接搜到很多教程。源码为php，学者为开发人员，能从编码的角度自己修改代码进行防护，分析代码逻辑如何触发漏洞、如何对漏洞进行利用。

欢 迎 加 入 星 球 ！

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

加入安全交流群

                               

关 注 有 礼

关注下方公众号回复“666”可以领取一套领取黑客成长秘籍

 还在等什么？赶紧点击下方名片关注学习吧！

推荐阅读

干货｜史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明

由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号渗透安全团队及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！