(附讲稿全文和PPT)百度讲师:以struts2 为例,教(6)

时间:2017-06-15 19:27

百度小灰灰:如何评估?比如,linux 有些系统组件存在存在溢出问题,有安全风险,这种漏洞通常在入侵到内网后才能触发,修与不修,安全整体收益不大。但是,如果修复,产生的不可控性比漏洞更严重,甚至会引发中断业务,这种业务就不能接受。

比如,glibc版本过低,使用gethostbyname()可能会造成安全风险。但是贸然升级glibc会导致大量的依赖风险,对业务可能造成巨大影响。推荐的方法是,排查对外业务,如果使用了gethostbyname(),需要进行升级。否则内网中大量系统,不升级风险也不是太大。

漏洞的修复步骤,我只说下 WEB 漏洞的修复,系统漏洞方法类似。建议安全人员指导研发人员来修复,比如,SQL 注入,安全人员会对开发人员说,xxx 处存在 xx 类型的 SQL 注入漏洞,使用参数化查询,不要用拼接的方式,同时告知该漏洞的具体风险。而开发人员对参数查询很清晰,修复起来很容易。对方需要知道的是漏洞的类别、危害和修复方法的方向,如果能给他代码级的修复方法更好。所以我们也可以写文档,总结常见漏洞的修复方法,让他学习和修复,但是他修复完你必须进行复测,如果复测没有问题,工单或者流程就可以关闭。

针对大规模主机的漏洞修复,如果规模很大,势必会有统一的运维系统去进行操作、部署,不会让你一个一个去安装。所以,你要和运维人员沟通,为什么必须修复,给出必要性,让运维人员进行灰度测试,比如,有 20 万台机器,先对2000台机器进行灰度测试没有问题,,再上一些机器测试,按部就班地进行。

4.请您推荐下比较好用的开源扫描器。

百度小灰灰:其实,我之前也推荐了 W3AF 的扫描器。为什么选它,一则是用Python语言写的,安全工程师一般对python上手很容易。其次,这是开源扫描器,我们主要是借鉴扫描思路,甚至可以自己写一个扫描器。比方说他的audit审计模块,会包含大量常见漏洞的检测和判断方式和规则,参考这些规则就知道如何去实现一个扫描器了。

5.怎么才能成为您的同事?(实习生、正式员工)

百度小灰灰:

实习生:要求有安全背景、大量攻防对抗经验。

正式员工:要求更高,需要是在攻防领域比较牛的人。

一句话:能力强就ok。有兴趣的同学可以发简历到 security@baidu.com 。

以上就是本次小编硬创公开课的全部总结文,如果想看到更多网络安全干货,请关注我们,多多参与小编硬创公开课。如果你有特别期待的嘉宾,也可在我们公众号里留言,或许,你的男神/女神就会来讲课啦!