谈谈APP创业公司对网络安全认识的周边感悟

2013-08-01 156865人围观 ,发现 14 个不明物体 其他观点

我承认,这标题是长了点,而且读起来有点拗口了,众位亲请给眼睛限速一下。结尾有深喉内容,切勿错过。

首先我需要问诸位一个简单的问题:


网络需要考虑安全问题?:)

答案是肯定的。这就好比,家里的大门出去后应该锁上一样。其目的是不让别人偷窥到家里的隐私,或者更有甚者,偷走你家值钱的东西。没锁门,心悬吗?
所以,我想这应该是最基本的常识问题了。归根到底,无论是创业的CEO也好,也无论是久经沙场产品经理也罢,懂得互联网这个基本常识是必须的。

感悟一:创业公司大都不懂网络安全

先发2个最近在我晕站点上看到的链接:

http://www.wooyun.org/bugs/wooyun-2013-028341

http://www.wooyun.org/bugs/wooyun-2013-026031

类似这样的链接在我晕上还真看到不少,看完后,细细体会一下,感觉这些公司具备共同特点:


1.好多的创业公司,处于发展阶段, 也许,我说也许,都有着被收购或者上市的宏伟目标.
2.从自身APP发力或者起家,重心从来都是停留在产品经理和市场推广上.


而在有些公司在面对安全风险的时候,给予白帽子的回复是:无影响厂商忽略

怎么会这样呢?难道真的没有影响吗?个人觉得有以下3点影响,欢迎补充:

(1). 公司网站被挂马,被篡改,极有可能打击访问者信心,流失用户资料,甚者被洗劫SEO流量。

(2). 公司的产品被注入木马, 最终损害的用户利益。

(3). 用户认为这是极其不负责的行为,因为用户数据库信息被泄露的风险直接关系到用户个人隐私。

当下的移动互联网如此之火热,然后细数有多少个APP,多少个背后的公司和厂家多多少少都是如此的时候,深有感概,于是有了一些主流猜想:


1. 这些公司,可能把重心积极的放在产品的推广和创新上面,而从来没有考虑过网络安全问题,最多也就拥有局域网网管和服务器产品部署人员,而没有真正的网络安全人士入驻。
2. 公司存在着伪安全人员,什么叫伪安全?见文章底部。
3. 创业公司发展初期,可能CEO更多的是考虑把钱用到“刀刃”上面,多请一个做网络安全的白帽子,那等于是“浪费”钱,只要相安无事,那就走一步是一步。不然,怎么会有上面的问题被爆?
4. 创业公司期遇vc,或者有些公司已经获得vc,虽说已考虑招聘的自身的网站安全问题。但亡羊补牢为时已晚。


这样想来,很多移动APP开发中被关注的重要环节还是产品自身,没有产品就没有一切。相对过去的纯互联网站点来说,纯互联网就是一切,而手机互联网是APP+网站。  创业者就凭借着盗走了纯互联网的代码和数据数据就是盗走了一切,而盗不走手机互联网的产品核心(代码)这种对比心理,所以导致忽视了现实中的网络安全问题,忽视了上述提到的安全风险。移动APP产品相对纯互联网很新,所以APP创业公司也很新,新可能就代表着很多安全风险还没暴露出来。防患于未然,未尝不可?  可以多说一句吗:没有安全,也有可能没有一切,仔细想想。

再发2个稍早前的链接:

http://www.wooyun.org/corps/Changba-inc

http://www.wooyun.org/corps/%E5%A4%A7%E4%BC%97%E7%82%B9%E8%AF%84

不排除,也有受伤以后,对网络安全重视的,这是好事。因为他们至少跟白帽子之间有了交流和回复,知道了网络安全不可小视。但从漏洞被爆出来的类型和严重程度来看,尚需要更加强有效的网络安全措施。

接下来中场休息,我们来欣赏一下天天向上的视频:http://video.sina.com.cn/v/b/94992887-2512185525.html


感悟二:白帽子真的需要不断提升

天天向上的励志节目一看完,作为白帽子的您是不是觉得任重而道远呢? – -!

我在甲方上班,很轻松,以至于轻松得来“无事可做”,相信有很多白帽子跟我一样,偷着乐吧。跟你一样,我也常常为骇客不经常上门而感到苦恼,觉得没什么意思,缺乏了一些挑战。你是否也跟我一样?那天我的朋友F(我就简称他为F吧),他负责国内某大型知名网站的网络安全工作,该公司也是创业公司。给我的感觉,他总是很忙。以至于QQ上聊天常常都是今天回复昨天的内容。


有一天,我忍不住问了一句:你们不会总是那么忙吧?真有那么多干不完的事情吗?.....
第二天,F答我: en,的确,我们很忙,公司部门多,事情多,想想我们那么多站点,几百个域名,几百台服务器,已经累的快不行了。
我继续追问:我晕网上又看到你们的漏洞被提交了,现在在处理了吧?
第三天,F答我:嗯,现在我们有自己开发WAF,这样可以减&!&&!@#(()AS*(&1223(后面省略100多字)
我没有再继续追问了。只是淡淡的一笑,"加油!".


- -!我承认,网络安全没有银弹,但思维决定出路!大网站也不例外,你可曾在我晕网上读过专场连载小说?

认真是没错,还是需要不断的提升思维。大家可能都还记得,在上学的时候,总有那么一些同学平时玩的比别人多,考的比其他人都还要好。有人曾经说过"hack for fun",是否也有"work for fun"呢?不需要多解释了。你懂的。移动互联网带来更多的新生公司,创造了更多的就业机会。如果希望把更好的安全技术带给这些公司,白帽子们就要一起加油,做到得心应手,不断提升自己。始终提醒自己:安全靠学和悟(H+W)!

借seay的果子妹妹来给大家提提神,

gzmm

感悟三: 安全是双向的

对大公司,他们已经走过了创业阶段,网络安全得以巩固。但任不乏偶尔出现安全事件。而对创业公司而言,有些公司的安全真的是一塌糊涂了,有些甚至索性“裸奔”。

在这里要感谢那些对网络安全重视的公司们,因为有了你们才得以让网络安全工作者得以谋生,而不是天天写杂志投稿赚稿费生活。但是,在面对创业公司的发出的选择的时候,你要知道这是双向的。只有对方重视安全,能够真正认识到你,你才可以为对方的安全做出建设和积极的贡献。也只有这样的公司才可以让白帽子们把安全做的更加的得心应手。这段话看似枯燥乏味,但其实意义深刻。能读懂的不知道有几个,请告诉我你的想法。

———————我是顽强的分割线—————————

这不是吐槽,更不是软文,针对上面提到的各种感悟,我提出了几个问题,希望可以大家可以一起想想:


1. APP创业,APP相关创业,在不懂网络安全的前提条件下,是一种风险吗?这种风险是否可以减少,而且是0成本的。
2. 从事APP移动互联网行业的创业者吗,是否应该具备所谓的安全常识?
3. 你所在的创业公司里,是否存在这样略懂安全的伪安全工作者,说说你的遭遇?
4. 如何才能让需要网络人才的企业真正认识你?那全能的HR是否是您最大的阻力?
5. 如果你发现一个APP创业公司的网络安全漏洞,你会发布到我晕网还是与对方直接联系,或者索性不再理会该公司了,WHY.说说你是咋想的?


———————我是顽强的分割线—————————

附:伪安全工作者的含义

不懂英文,那你就不会编程;不懂编程,你就不懂安全。当然这2句话说的有点过了。但你可曾想过,招你到对方公司负责网络安全的人都是什么样角色的人呢?大多数是负责网络运维的负责人。没有运维部的,那肯定就是CTO了。PS:安服公司除外。这些负责人中有些是程序员出生,精通各种程序开发语言和算法,有些是DBA出生,精通各种数据库的CURD,有些是运维出生,精通各种云各种软各种架构的搭建和配置。他们对安全的某一方面很专注,他们总是谦虚的说自己对安全略懂。

举个例子吧,程序员一般都懂得SQL注入漏洞(S),数据库的一般懂得用触发器或者存储函数对输入进行数据库级别的有限过滤(D),运维会加固目录权限和防范配置漏洞(Y)。他们对待网络安全的认识是不全面的。稍微好点的,懂得S+D,S+Y。也有比较不错的,懂得S+D+Y的。可安全工作者,我感悟到必须要更强大一点才行:譬如社工,譬如我们来聊聊今年的OSWAP TOP 10都做了些什么改变 – -!。 伪安全工作者往往左右企业的安全策略,影响着企业的安全人才的入驻。带来的问题是非常值得让人注意的:


1. 有伪安全工作者的公司,即使有招收网络安全专家的意向,但至始至终都不会招到一个可靠的网络安全专家。
2. 有伪安全工作者的公司,其漏洞体现是呈现多角度瑕疵。骇客总能在意想不到的地方拿下对方的站点。


举个例子,网站安全做的好的,其APP上无安全防护,反之也是;注入安全做的好的,XSS交互被打入后台;CDN加速做的好的,配置出现端口配置漏洞;

这样的站在我晕网上很多,我晕网还给这些漏洞做了许多分类,这样的例子多不胜数。比如,当第一个问题你提交厂商确认以后,就可以确定对方应该对自身进行自检了,而后却该厂商的各种问题不断被提交。杯具证明:要么就是对方没有专业安全人士做指导,要么就是伪安全工作者正在努力补洞。

(全文完)

这些评论亮了

  • ringzero 回复
    作为一个安全从业者,这个文章道出了心声,于是批个马甲来回复下
    很多人对安全的认识比较弱,不是整体不懂运维、不懂代码、不懂web原理,只知道找找漏洞就算是搞安全了。拿着扫描器扫描的只能算是伪安全专家。
    因为有了这些伪安全从业者,才有了那么多不专业的事,楼下来说说,你们那有没有伪安全从业者?
    )11( 亮了
  • Nicky 回复
    小厂商一般都只有运维没有网络安全人员,去乌云提交个洞厂商运维还得问怎么修。。。
    )6( 亮了
发表评论

已有 13 条评论

取消
Loading...
css.php