“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”
01
—
前言
为了全面了解外网资产的安全状况,我们在2022年启动了一项众测工作。自2022年7月份在三家平台发布以来,我们经历了护网、重保等重要活动,并于2023年3月份圆满结束。为了更好地准备下一次众测项目,我们特此进行详细的复盘。
(1)大概摸清外网整体安全状况;
(2)避免因外部漏洞对公司声誉造成影响从而导致监管处罚。
(3)查看安全安全检测的整体概况,漏检率如何(是骡是马,拿出来遛遛)
从这两点的角度来看正常的渗透测试模式和红蓝对抗模式所求的目的不同,就会导致不同结果,渗透测试更像是大家去做全身体检的时候,尽可能的发现自身所有的问题,证明漏洞危害即可;而红蓝对抗更类似于大家熟知的木桶理论,只要我找到你的最薄弱点,突破系统的限制,拿到系统权限,维持权限,进而拿到更多的主机权限。
但是以上的手段也只是内部的,做的再好,也有点“闭门造车”的嫌疑,手段还是不够完备。真正的强大和自信,是愿意让更多的人提出自身的漏洞问题,也针对即使自己看起来很安全的业务系统,毕竟灯下黑的事迹在业界并不少见,”众“的力量也远远大于个体(不同的白帽师傅专研的方向不同,能提供更为全面的检测。),这就是市面上各大厂商需要采取这种较为流行的众测模式的原因。
怎么做好众测
(1)漏洞接受与反馈的问题。
(2)测试方动作规范的问题。
(3)项目结项漏洞数据相关问题。
以上三点,是我这边认为在此次项目中比较大的坑点。
https://www.cfstc.org/standards_bzgk/details/?id=1909&columnName=%E5%B7%B2%E5%8F%91%E5%B8%83%E9%87%91%E8%9E%8D%E6%A0%87%E5%87%86&nature=2
原文始发于微信公众号(A9 Team):【A9】众测项目痛点复盘优化
- 我的微信
- 微信扫一扫
-
- 我的微信公众号
- 微信扫一扫
-
评论