很久没有发文了…不知道从什么入手。也不想写太多文字只因精力不足。最近在做一件事特别有趣,之前也在酒店集团做过安全但是却没有深入思考到点子上。给公司内部进行针对性(测试、开发、运维)几个部门联动起来其实你可以减少很多事情。
给测试人员培训如何发现简单的安全问题,这样可以帮你减轻很多时间去跟进上线前的测试,每家公司上线前都需要测试工程师进行大量的测试保证没有出错才能上线,但为什么需要测试人员去协助你呢?毕竟测试能够先比你早一步知道这个项目什么时候上线,功能点都有哪些。知道非常细腻的东西…A说那我已经去开了需求评审了啊,可惜他们有时候会把你们漏掉的。那么如何跟测试人员讲安全非常重要了!!我最近的想法是先从漏洞讲起,比如常见的漏洞类型都有哪些其中这些漏洞分类有什么。再讲解这个东西是什么。如图:
给开发需要讲解的是在写哪些工程最容易出错,为什么会一而再再而三的出现同样的问题。好比如越权就是在功能点上没有做好权限判断。没有加token、sign之类的,这就导致了A用户能够访问到B用户的信息。同时也需要让他们在哪些地方进行规避,把最常见程序员写错的代码都告诉他们!
给运维同学讲的无非就是默认配置、线上环境服务器弱口令、备份文件禁止存放在外网以及不允许安装一键环境部署包,说不定哪天外部报告了xxx.xxx.xxx.xx的IP存在phpmyadmin的弱口令可以getshell……
其实培训只不过是要全公司上下的人懂得安全是什么?联动多个部门去做事情或许会非常轻松!
我实在想不到要说什么了。等吧!
本文始发于微信公众号(逢人斗智斗勇):甲方安全之不懂安全三分钟入门指南
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论