272 views

互联网安全小兵的日常:如何“体面”地与业务打交道

image

生活不止眼前的枸杞,还有诗和甲方。两年前,我来了甲方,成为一名互联网公司的安全工程师。刚开始的阶段也是与一个个漏洞为伴,做做安全测试与漏洞推修。那时的日常可以参照我的那篇《安全摘记:互联网安全小兵的日常》

后来,领导发现我吹牛逼的水平远远高于我的技术水平,决定对我因材培养,逐渐让我和业务打交道,作为安全接口人对接业务的安全需求,以及对通用型的业务需求做一些安全能力的沉淀。从此之后,就开启了我的打杂生活,日常工作包括输出一些安全场景的解决方案、安全意识安全制度安全技术的培训、安全事件审计、应急响应、安全合规、安全推广运营等。

很多人对安全工程师都有一个误解,这里就要思考一下了:

[......]

Read more

86 views 959 views

PHP代码审计菜鸟笔记(二)

image

通过本地搭建 Damn Vulnerable Web Application (DVWA) 学习漏洞的利用和修复思路的时候,就感觉通过阅读 low、medium、high、impossible 的不同等级的存在漏洞缺陷的源代码,可以对漏洞的成因有代码层面的理解,也方便给修复建议的时候和研发进行代码层面的交流。

于是就想系统地学习和练习代码审计这块的知识,目前主要的学习资料就是《代码审计 企业级Web代码安全架构》这本书,PHP语言比较容易上手,环境搭建简单,搞Web的基本都会一点,而且PHP这门语言像腾讯、百度等都广泛运用到了Web上,还是很值得研究的。学习PHP的时候,除了网上的教程[......]

Read more