漫谈应急响应体系

目录 SOLUTION

三年没写博客了,不知道写啥,也不知道为啥不关站。转岗反入侵团队一年了,记录总结一下。

前几年从一线干到二线,今年又从二线干到一线。回来还是熟悉的味道,但久不经沙场,加上我现在只有三天的记性,手生了不少,更菜了。

这一年主要参与应急响应的工作,和小伙伴一起战时应对突发事件,平时建设响应能力,对应急响应体系也有了一些改观和思考。

继续阅读 “漫谈应急响应体系”

KMS AK在阿里云上的管理方案

目录 SOLUTION

身份认证是所有系统和应用的基础功能,也是安全首要关注的风险场景,如果身份认证出问题,其它安全机制都形同虚设。

身份认证有很多形式,用户身份认证已经大批量用上了生物识别技术,但在服务和接口调用的身份认证一般还是使用账密和AK。服务器上的账密或AK需要妥善保管,通常安全团队会建议使用KMS解决敏感数据存储的问题,而访问KMS也需要认证,在阿里云上KMS访问使用AK,那么就有一个鸡生蛋蛋生鸡的问题,访问KMS的AK怎么存储。此文以阿里云为例,描述阿里云上服务认证管理的方案和实现原理。

继续阅读 “KMS AK在阿里云上的管理方案”

从SPF记录中收集资产信息

目录 HACK

SPF用于防护伪造邮件,通过白名单的方式配置仅允许接收某些源的发信。

测过很多域名,都没有SPF记录,偶然测一个欧洲域名时,发现有SPF记录,并且特别长。深入查了一波,发现是配SPF的管理员把公司所有IP段都加到SPF记录里了,这样就拿到了这家公司的所有IP资产。在修复一个漏洞的同时,带来更大的漏洞,这种情况非常普遍,所以要对安全方案深入理解。

即使没有泄漏所有IP段,也可以对暴露的某个源进行挖掘。

没啥技术含量,仅记录一次意外发现。

安全水位评估思路总结

目录 HACK, SOLUTION

近一年不断在做安全水位评估,包括公司层面的安全水位评估和业务层面的安全水位评估,投前、投后,内部、外部,站在发现真实风险非合规和安全建设者的角度,不断完善各个场景的安全水位评估方案,整理了一些思路。

安全水位评估,我认为和安全测试、渗透测试的差别是,安全水位评估要找出全链路的风险点,找出所有短板,而其中很多风险要站在安全建设者的角度去看,要可行且有价值,不然容易陷入只破不立的尴尬境地。

首先要做的是,梳理资产,也就是评估目标,有哪些机房、哪些环境、哪些办公区,之后再针对不同环境去评估,生产环境、测试环境(开发环境、预发环境等算在测试环境里)、办公环境的评估方法是完全不同的。

继续阅读 “安全水位评估思路总结”

欢乐斗地主之一天送6次豆

目录 HACK

最近斗地主发现个有趣的问题,iphone微信小程序欢乐斗地主一天送完2次豆之后,Android微信小程序欢乐斗地主还可以再送2次豆,然后欢乐斗地主App还能再送2次豆,也就是说腾讯的欢乐斗地主至少分了3个库,数据没有打通。

刚在Android上发现还能送豆时,误以为记录送豆次数的参数存在客户端本地,服务端没有校验,测了一波并没有,那就只能多蹭几次送豆了。

隔了几个月写篇博客,竟然写个这玩意,哈哈。