搞垮甲方攻防团队的 7 条建议

大家都是受过九年义务教育的人，不是我吹，我比你们厉害一点，我读了十年。

今天跟大家聊一个硬核的话题：如何搞垮一个甲方攻防队伍。

没有搞不垮的队伍，只有不努力的人，相信我，只要你努力，再结合点方法论，搞垮一个攻防队伍根本不是难事。

根据我多年的实操经验，总结了以下7条秘技，希望能给你一些启发，在搞垮的道路上助你一臂之力。

0x01 规划要体现格局

如果你所在的甲方攻防业务刚起步，这一点就特别重要，新业务的资源投入往往是不够的，想要受到重视，一份高大上的工作规划就十分有必要。

追 APT，挖 0day，搞行业合作，提升品牌影响力，打造专属 IP……

记住了，千万别接地气，飘得越高越好，这才能体现我们的高瞻远瞩。

把饼画的大点，大到你自己都吃不下，这就是一次成功的规划。

这不叫吹，这叫格局。

万事开头难，先搞一套飞上天的规划，这样就为搞垮一个攻防队伍开了一个好头。

初期阶段，就三五个人，搞个毛线格局啊，手底下的活能干完就不错了。

在甲方做安全，很重要的一点就是落地，千万别画饼。

任何事都有发展阶段，看清自己的现状，制定符合实际情况的目标和行动路径。当然不是不能做长远的规划，只是行动的时候要先解决眼前最重要的事情。很多事情不是不能做，而是还没到做的时候。

不怕规划做的小，就怕规划假大空。

0x02 钻研技术，拓展深度和广度

攻防队伍研究技术，没毛病吧。

传统的 web 安全技术已经不能满足我们的B格了，从技术研究深度上，搞一搞中间件漏洞，研究研究开发框架的缺陷，挖一挖系统内核漏洞，搞点核武器级别的大杀器，这才是攻防队伍该做的事情。

木桶原理大家都知道，任何一个短板都会制约我们的发展，所以除了技术深度外，广度也很重要，web 安全、移动安全、云安全、IoT 安全、虚拟化安全……

反正都得会，哪个不会就学哪个。

总之，每个领域都会，每个领域都专精，这才像攻防队伍。

一个成熟乙方的攻防队伍这样建设是没有问题的，技术研究能力可以直接为公司创造效益，但是甲方的蓝军想像实验室一样做纯研究，需要做很大的投入而且还不一定能出研究成果，特别是处于初期阶段的蓝军，企业是无法接受没有产出的技术研究的。

技术要支撑业务，攻防也不例外，我们钻研的技术，最终一定要能解决实际问题，能辅助公司达成业务战略目标，这就要求我们要有选择的去钻研一些技术领域，不能太脱离现状。

在选择研究领域时，可以利用甲方平台的优势，了解最新的防护技术、安全产品和解决方案，相对应的测试技术也要有更新，这些其实都是很好的研究方向，切忌漫无目的的选择。

0x03 管他什么测试，干就完了

经常有兄弟提问，在甲方平时防护的工作更重要，感觉攻防没什么可做的事，也不知道该做些什么。

事实并不是这样的，攻能做的事挺多的，测测系统的漏洞、挖挖 wifi 的安全性、验证网络策略的合理性、绕一绕人脸识别、搞一搞门禁系统、试一试社会工程……

如果想玩大的，还可以黑一下大屏、给老板发钓鱼邮件，搞出点动静来，也能用实际效果来证明攻击工作的重要性。

所以根本不怕没事可干，甚至搞完一轮还可以再搞一轮。

在资源有限的情况下一定要优先解决最痛的点、公司最关注的点，不然很有可能是浪费资源做了无用功，还会给其他人留下自嗨的印象。

在选择做什么之前要先认清攻防在当前安全体系中的位置，找到自己的“生态位”，将攻防的齿轮契合到整个安全体系中，这样的转动才有意义。

建议平时多和身边的人沟通，了解现状、痛点和他人的期待，对于身边的事情要有敏感度，以攻防的视角提出解决方案并行动，这样我们有限的资源才能集中在最重要的事情上形成压强效应，一步一步通过技术推动安全能力的螺旋提升，服务好公司的业务，体现出攻防在甲方安全建设中的价值。

另外，对于玩大了的兄弟，只能提醒一下不是所有公司都认同这种做法的，搞之前请先评估好后果。

0x04 管他什么漏洞，提就完了

这年头，各个企业的 SDL、DevSecOps 体系都已平稳运转，系统在上线前就已经修了多轮漏洞，上线后想挖个漏洞太难了，不过这也难不倒聪明的攻防人员，提不出高质量的漏洞，小瑕疵还是能找到的。

登录处不设置错误次数限制，就是暴力破解漏洞，哪怕加了验证码也可以人工输入；登录处设置了错误次数限制，就可以导致账号锁定，批量冻结人员账号；80/443/8443/8080，以上端口均为易受攻击端口，可能存在被攻击风险，需要更改或关闭……

业务的正常功能也可以当漏洞提，也是个和项目组PK的好机会，还能多刷刷脸，一箭双雕。

总之，提就完了。

运行态的系统找不到漏洞才是我们要追求的目标，并不是一定要挖出漏洞了才能体现出攻防的价值，攻防人员一定要走出这个思维误区。

随着安全工作的不断深入和完善，漏洞一定是越来越难挖的，这也说明我们的安全工作做到位了，如果安全投入很大，反而漏洞一年还比一年多，这就要出问题了。

鉴于此，攻防队伍的绩效趋势一定是逐渐下行的，提交低质量漏洞并不是解决绩效下行的方法，想要解决这个问题可以考虑调整指标体系，评判攻防队伍成熟度的方式不是只有漏洞一个指标，结合自身的需要制定多维度的评价体系，代替只看漏洞数的评价方式。

0x05 风险具象，不然漏洞得不到重视

安全漏洞不被重视应该是很多甲方的痛点，那么大家有没有思考过原因呢，发现的漏洞为什么不受重视？

答案很简单，就是痛点还不够痛嘛，所以解决这个问题的方法就是让相关的人员痛起来，把漏洞的风险利用到极致，通过漏洞整出点动静来，这样研发和业务就会觉得痛了。

发现个 SQL 注入漏洞，只输入引号报错体现不出这个漏洞的危害性，不如直接改生产数据，把自己的余额改了，把别人的密码改了，这样研发就会意识到漏洞的严重性，修起漏洞来也带劲。如果这样都不重视，那就直接把研发负责人的数据改了，看他修不修；

发现个 XSS 漏洞，只是弹个窗也太没意思了，不如写个 js 脚本把官网搞挂，这样再也不会有人说 XSS 影响不大了……

这年头，漏洞已经越来越难挖了，好不容易挖到个漏洞，得把影响搞大了，不然我装逼给谁看呢。

攻防人员最擅长搞各种骚操作，这里仅抛砖引玉，相信大家都能做的很好，这样搞就没有人不重视漏洞了。

首先，证明漏洞的危害，提高大家的安全意识，有这样的想法是非常好的，但是风险具象往往也会伴随着风险发生，在做关键操作之前一定要预判对系统的影响，特别是生产系统，稳定运行的优先级一定是大于修复漏洞的。一旦出了事，搞不好要背责任。

我们发现漏洞的目的就是帮助系统能更稳定的运行，千万别忘记漏洞挖掘的初衷。

技术人员都有着一颗把事情做到极致的心，不过做事的同时还要时刻保持对风险的敬畏，别让我们的进取心弄巧成拙。

0x06 拿着漏洞当令箭

俗话说一朝被蛇咬，十年我就学会了剥蛇皮吃蛇肉。经过了历练我也学会吊打兄弟组，折磨业务方。

只要能挖到漏洞，我们就有机会，赶紧刷刷存在感，证明攻防牛逼，别人不行。

这么简单的漏洞，系统上线前安全开发怎么做的？漏洞都利用成功了，安全运营怎么没阻断？业务怎么考虑的，能提出这样的需求？产品经理什么情况，需求怎么会这样实现？研发怎么回事，请你们来就是写漏洞来的吗？都过去五分钟了，漏洞怎么还没修完，好好反思一下是人的问题还是流程的问题……

只要你手里有漏洞，挑毛病还不好挑吗，直接一套 PUA 操作，说到别人怀疑人生。 

用好了这招，保你跟其他团队和部门建立对立关系，屡试不爽。通过这种方式给攻防涨涨面子，看以后谁还不重视攻防工作。

攻防绝对不是给其他团队找麻烦，相反我们一定要站在对方的角度去沟通发现的安全风险，我们的目标永远都是帮助系统建设的更健壮，建立合作共赢的关系才有利于大家保持长期的工作协同。

如果到处都是敌人，那后面的工作会更难做。

0x07 向优秀队伍学习

还有些兄弟会问，攻防只挖漏洞是不够的，关于队伍建设有什么好的思路吗？

解决方法也很简单，照搬别人的做法就好了。

做事情不能闭门造车，应该多出去看一看，参加一些峰会和交流，了解一下别人都是怎么做的，特别是一些优秀的队伍，人家优秀肯定有值得学习的地方，人家怎么做咱们也跟着怎么做，一定错不了，这也是攻防队伍建设最简单直接的做法。

多学习交流没有错，但是我们不能盲目学习，别人的优秀经验可以作为参考，结合自身的现状制定出最符合自己行动方案才是最正确的做法。

组织架构的不同、发展阶段的不同，也就意味着不同的策略和打法，不经过消化的照搬照抄，一定会水土不服。

0x08 结语

马云说过：“今天的最好表现，是明天的最低要求。”虽然我也不知道引用这句话想证明什么，但总觉得在文章的最后引用大佬的名言，好像能提高逼格。

原文始发于微信公众号（信安之路）：搞垮甲方攻防团队的 7 条建议