我的安全观

 

     星期五由于公司开会没更新，这个星期六过了一个很充实的，参加了乌云的线下沙龙，有机会认识很多大神，包括见到了猪猪侠和301，剑心。也希望乌云能够越办越好，下图秀下在沙龙拿到的奖品。

  好了，不惹仇恨了，其中有两个议题，我觉得挺好的，有的玩，来自 do9gy 的《漏洞与锁》和来自 「你们最爱的」 phithon 的 《CodeIgniter框架中的漏洞挖掘与安全开发》，这两个议题，一个关于开锁的，虽然没怎么详细说怎么开，但是作为基础入门还是讲的不错的，提了2个问题，获得两个锁了。P神的关于代码审计方面的议题，讲的很实在，也学习到了不少东西，关于乌云沙龙，有兴趣的，我可以共享下，私下找我要链接吧，闲话少说下面正式说了。

---

一 开头：

       虽然早在2014年，心脏出血漏洞的出现，让国内安全行业，一下子到了风口浪边了，也由此导致2015年信息安全行业被国家政策面上拉到了国家层面的重视程度，虽然对于安全行业来说，春天已经来了，可是，对于算是安全从业者来说，还是不能感觉到有什么变化，由于本人有签保密协议，就稍微提下吧。

二 正文：

     之前也提到了我的漏洞观，今天就说下我的安全观，虽然本人入行不久，但是，本人看书比较多，觉得其实各行各业还是有相同之处，下面说下我的短见吧，如有说错，请指点一二。

     在工作中遇到的疑惑是，有些单位，即使写函下去了，要求整改，但是，漏洞还是在哪里留着，就像最简单补的弱口令漏洞，就上去改下密码就可以完成了，居然还是留下来，好像特意给维护方留下后门，方便维护，当然这是开玩笑的，现在普通最容易挖的SQL注入漏洞，基本在主站是很少会见到，因为众多的白帽子辛勤努力下，促使开发商，去补这样的漏洞。但是，人为留下的漏洞或者是业务上的逻辑上的漏洞，还是不少的，利用开发者基本已经固化的思维角度，有些让人哭笑不得的漏洞不停的出现，现在老实说web方面的漏洞确实是越来越难挖了，如果你经常有留意乌云等其他平台，除非是一些很小的厂商，或许能够挖到不少0day和通用漏洞，现在为了挖web方面的漏洞，有个便捷点的方式就是存网站的源码，然后代码审计，组合一起，或许有可能挖到代码层面的漏洞，然后顺利上shell。

     安全问题不单单是一面的问题，我个人分为物理安全和网络安全等，今天主要说这两个吧，物理安全包括但不止这些方面，服务器的物理安全，机房的物理安全，人员的安全意识等，网络安全包括web应用层面的，代码层面，网站中间件等方面。

     而由于现在安全意识不断的提高，物理安全方面基本上做的很好的，除非你加上社工，伪造身份，能够碰到真实主机，网络安全方面了，由于一般的软件都是其开发商和维护方的安全服务，基本上是没事的，但是人为原因导致的漏洞这些，确是无法修复的，由于每个人的安全意思的不同或者说是工作态度不同吧，导致这些漏洞是很难修复的，除非必与无奈，就修复了，那就没意思了，这些漏洞的存在相当与一个隐形的炸弹，一旦非法的骇客，利用这些漏洞，一旦窜起来，那危害性会很大的，现在流行的APT攻击就是利用这些隐形的炸弹来实现他攻击的目的的。

 三 总结：

      总体来说安全行业的春天确实是来了，但是，信息安全不单单只是国家层面的更对于每一个平凡的人来也是尤为重要的，不要因为那小小的方便，而导致自己资产安全和人身安全受到危害。

原文始发于微信公众号（白帽子）：我的安全观