小明和小紅是鄰居。

小明會(huì)點(diǎn)兒技術(shù)，他暗戀小紅。

但是情商低的小明在小紅不知情的情況下，入侵了鄰居小紅的網(wǎng)絡(luò)，順手從小紅電腦里偷出了小紅的各種生活照，并做了轟天動(dòng)地的表白網(wǎng)站，配上了這些圖，自以為特別成功地發(fā)給了小紅。

小明，卒。

表白不成功不是啥事。世界上最痛苦的事兒，莫過(guò)于有人入侵了你家的網(wǎng)絡(luò)，你卻不知道?；ヂ?lián)網(wǎng)早已經(jīng)變成了一個(gè)沒(méi)有硝煙的戰(zhàn)場(chǎng)。

對(duì)個(gè)人用戶而言，可能是隱私信息、電子財(cái)產(chǎn)被盜等，對(duì)企業(yè)網(wǎng)絡(luò)而言，形勢(shì)可能更嚴(yán)峻。

無(wú)時(shí)無(wú)刻，有成千上萬(wàn)的掃描器在不停地掃，有各種各樣的系統(tǒng)、中間件、web 程序被曝出漏洞。有那么一群人，為了盜取用戶數(shù)據(jù)、發(fā)動(dòng) DDoS 攻擊、勒索等，瘋狂發(fā)起攻擊。

其實(shí)攻擊并不可怕，有數(shù)據(jù)顯示，98%的攻擊都是試探性的?？膳碌氖枪舫晒Α肭?。如何抵抗入侵、及早發(fā)現(xiàn)入侵，甚至在萌芽階段就能阻止入侵，對(duì)一個(gè)企業(yè)網(wǎng)絡(luò)異常重要。

3月15日，百度安全資深安全工程師小灰灰在雷鋒網(wǎng)硬創(chuàng)公開(kāi)課中，按照自己的實(shí)操經(jīng)驗(yàn)，詳細(xì)講解了如何建立一個(gè)有效的企業(yè)級(jí)安全防御。

嘉賓簡(jiǎn)介

小灰灰，百度安全資深安全工程師，主要負(fù)責(zé)百度業(yè)務(wù)應(yīng)急響應(yīng)、入侵排查、0Day 分析等，同時(shí)是百度安全監(jiān)控體系建設(shè)技術(shù)負(fù)責(zé)人。主要技術(shù)攻關(guān)方向?yàn)?Web 安全及硬件安全。

視頻講稿

由于曾就職在乙方安全公司，現(xiàn)在負(fù)責(zé)甲方安全，所以對(duì)整體的國(guó)內(nèi)安全狀態(tài)、各方優(yōu)勢(shì)以及存在的一些不足都有一些理解&感觸。

整體上來(lái)看，國(guó)內(nèi)以BAT為首的互聯(lián)網(wǎng)公司，安全地位都比較高，整體研發(fā)能力也很強(qiáng)，基本上各大的安全系統(tǒng)都是自研，靈活性、效果、性能方面都有較大的優(yōu)勢(shì)。而國(guó)內(nèi)一些中小型企業(yè)，由于整體人員分配、資金投入、業(yè)務(wù)安全風(fēng)險(xiǎn)等各方面原因吧，處于想做安全但是人力不足、專(zhuān)業(yè)技能人員不足，主要靠大量的購(gòu)買(mǎi)盒子類(lèi)產(chǎn)品、安全服務(wù)等保障公司網(wǎng)絡(luò)安全。

上圖是我親身經(jīng)歷的很多 case 挑了幾個(gè)典型代表。可以看見(jiàn)，針對(duì)這些安全研發(fā)能力一般的（估計(jì)這方面研發(fā)能力強(qiáng)的，也只有大型互聯(lián)網(wǎng)公司+一些金融機(jī)構(gòu)了）公司，看起來(lái)像是投入了很多資源，也很重視安全（一些定期匯報(bào)之類(lèi)的），但是實(shí)際效果其實(shí)很差。不是他們不想做好，只是可能缺少了正確的方法。

那么試想下，當(dāng)前兩天的struts2 遠(yuǎn)程命令漏洞來(lái)了，可以預(yù)見(jiàn)到，這些企業(yè)大多都會(huì)被無(wú)情的入侵。工程師早上上班一來(lái)，發(fā)現(xiàn)頁(yè)面被人改了、數(shù)據(jù)被人偷了、還搞了個(gè)locky病毒：要想贖回?cái)?shù)據(jù)，請(qǐng)交錢(qián)。

所以我希望我能通過(guò)介紹互聯(lián)網(wǎng)公司的，包含理念和具體方法的最佳實(shí)踐，能夠幫助這些企業(yè)在安全建設(shè)方面開(kāi)拓些思路，改善下當(dāng)前買(mǎi)了安全、做了安全但又經(jīng)常處處挨打的處境。

知己知彼，百戰(zhàn)不殆。首先我們來(lái)看看黑客們都是如何入侵到企業(yè)網(wǎng)絡(luò)中的，以及他們都做了什么惡事兒。

看起來(lái)，他們還是有幾個(gè)主要途徑的，這里面最重要的 莫過(guò)于web系統(tǒng)了。暴露的服務(wù)越多，遭受攻擊的可能性就越大。而且黑客獲取服務(wù)器權(quán)限后還會(huì)進(jìn)一步漫游內(nèi)網(wǎng)，獲取更多資源。

說(shuō)到web系統(tǒng)，不得不提掃描器。其實(shí)黑客大多數(shù)也很忙，沒(méi)有時(shí)間針對(duì)每個(gè)網(wǎng)站一點(diǎn)點(diǎn)人工測(cè)試，大多數(shù)是這么做的：開(kāi)一堆掃描器，任其瘋狂掃描，坐等最終結(jié)果。如果結(jié)果中有了一些中高危漏洞，他們便嘗試去利用，這時(shí)候才開(kāi)始針對(duì)性測(cè)試。所以，掃描算是一個(gè)重要入口了吧，如果能擋住點(diǎn)掃描行為，擾亂掃描器這群傻機(jī)器，其實(shí)也可以很大程度上增強(qiáng)安全性了。

對(duì)webserver進(jìn)行些加固、用個(gè)效果不錯(cuò)的waf抵擋掃描器的探測(cè)、同時(shí)自己也用掃描器提前掃一下，針對(duì)已知漏洞還是有很大效果的。

但是針對(duì)struts2 s2-045 這樣的0day漏洞，效果就很有限了。那如何在0day下，也有一部分的防御&感知能力呢？

由于是0day，第一時(shí)間：

? 沒(méi)有規(guī)則，無(wú)法攔截

? 沒(méi)有poc詳情，無(wú)法掃描

但是，利用漏洞必定會(huì) 有攻擊路徑

? 特征（主要是 已入侵，得到shell的方法）

? 行為（主要是進(jìn)一步攻擊，漫游，擴(kuò)大戰(zhàn)果）

所以這時(shí)，用安全監(jiān)控作為彌補(bǔ)，感知已入侵的入侵特征和行為，及時(shí)發(fā)現(xiàn)黑客入侵并應(yīng)急處置，將變得異常重要和有效。

下面，我會(huì)從這三個(gè)方面給大家介紹下互聯(lián)網(wǎng)公司一般是如何做的，以及需要注意的問(wèn)題。著重講下安全監(jiān)控的思路。其中的一些實(shí)踐經(jīng)驗(yàn)總結(jié)來(lái)自于大量的攻防對(duì)抗、入侵排查、0day應(yīng)急處理。

關(guān)于掃描器，我們需要明白，掃描器并不是萬(wàn)能的，他主要的作用有兩個(gè)：

• 已知問(wèn)題提前發(fā)現(xiàn)，先于黑客發(fā)現(xiàn)并修復(fù)漏洞，防止被外界利用 

• 新問(wèn)題 快速review（0day、SRC、其他公司等近期多發(fā)高危case）

掃描器只能是一個(gè)公司安全整體情況的晴雨表，通過(guò)掃描結(jié)果反饋不足并不斷改進(jìn)。而這個(gè)晴雨表的效果來(lái)自于整體掃描能力的構(gòu)建。

 

如何評(píng)判一個(gè)掃描系統(tǒng)是否優(yōu)秀呢？Poc的數(shù)量、質(zhì)量、是否有智能識(shí)別是一個(gè)很重要的指標(biāo)。數(shù)量代表了能掃到的漏洞范圍（但切記范圍要本地化、實(shí)用，一些老舊、無(wú)大風(fēng)險(xiǎn)的漏洞其實(shí)并沒(méi)有必要），質(zhì)量代表了掃描效果（例如sql注入掃描poc，是否覆蓋了各種注入類(lèi)型等），智能識(shí)別能極大的降低由于“傻掃”帶來(lái)的資源占用、任務(wù)時(shí)間延長(zhǎng)。

另一個(gè)常見(jiàn)問(wèn)題是大多數(shù)掃描器資產(chǎn)發(fā)現(xiàn)能力很弱，單靠爬蟲(chóng)等會(huì)使得掃描輸入源（訪問(wèn)url和參數(shù)）很有限，輸入源少了，自然整體掃到的漏洞也少。一種有效的方法是通過(guò)流量中、瀏覽器插件、access日志等獲取更多的輸入源補(bǔ)充到掃描任務(wù)中。

如果不滿足商業(yè)掃描器的功能&靈活性，或者希望更深入了解掃描器的原理，或者干脆自己實(shí)現(xiàn)一款掃描器，那么可以參考下W3AF（如上圖所示）。W3AF是一款很優(yōu)秀的開(kāi)源掃描器，使用python語(yǔ)言實(shí)現(xiàn)。其中的audit模塊包含了常見(jiàn)漏洞的檢測(cè)及判斷方法。而crawl模塊包含了爬蟲(chóng)、google hacking、dictionary list等多種資產(chǎn)發(fā)現(xiàn)方式。整體上來(lái)看，很具有參考價(jià)值。

WAF通常是放在了一些中小型企業(yè)DMZ區(qū)域的最外側(cè)。同樣的，WAF也不是萬(wàn)能的，別指望有了WAF就一切萬(wàn)事大吉了（這是大家一直的誤區(qū)）。它所解決的問(wèn)題，其一是讓掃描器得不到想要的結(jié)果，混淆掃描器；其二是在攔截0day方面，由于是最外側(cè)入口，有著不可比擬的優(yōu)勢(shì)，在業(yè)務(wù)沒(méi)有統(tǒng)一修復(fù)之前，針對(duì)性利用代碼，防范0day。

同時(shí)WAF也可以作為一些數(shù)據(jù)產(chǎn)出，比方說(shuō)根據(jù)近期攻擊情況做防御調(diào)整，比方說(shuō)收集最新的POC等。

上面第一個(gè)是我們從WAF收集到的具有攻擊性的POC（poc放出當(dāng)天就發(fā)現(xiàn)了）。下面的兩個(gè)是我們收集到的構(gòu)造十分精巧的POC，后來(lái)放在我們一部分掃描規(guī)則中。

既然我已經(jīng)說(shuō)了，WAF在0day攔截方面有著非常好的效果，那么大家就跟隨我一起，實(shí)際做下這次的struts2 0day在waf上的防御吧。

首先讓我們先對(duì)struts2進(jìn)行下漏洞分析。

首先diff代碼，發(fā)現(xiàn)刪除了LocalizedTextUtil.findText(......);。由于這次poc也很快放出來(lái)了，時(shí)間原因我們?nèi)€(gè)巧，一會(huì)，邊觸發(fā)poc邊單步調(diào)試。

以上我們只通過(guò)diff代碼向上回溯LocalizedTextUtil.findText函數(shù)的調(diào)用關(guān)系，便找到了重要信息：該漏洞的觸發(fā)是在content type中，而且包含multipart/form-data時(shí)。

但是跟進(jìn)了下findText尋找觸發(fā)命令執(zhí)行的關(guān)鍵點(diǎn)，并沒(méi)有發(fā)現(xiàn)什么有價(jià)值信息（分支條件很多，不知道走到哪了）。這時(shí)候，poc上場(chǎng)（如果沒(méi)有poc，這個(gè)分析將會(huì)技術(shù)要求很高了）。

Poc如下：

header["Content-Type"]="aaa_multipart/form-data %{#_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,@java.lang.Runtime@getRuntime().exec('calc')};"

單步調(diào)試，發(fā)現(xiàn)走到evaluator.evaluate(var)，彈出計(jì)算器。

分析之后，漏洞成因已經(jīng)很清晰了。

Content type中包含multipart/form-data 而且內(nèi)容包含%{….}  、 ${….} 的，中間內(nèi)容會(huì)被當(dāng)做 ognl 表達(dá)式執(zhí)行，從而引發(fā)命令執(zhí)行。 

上圖是做 %{….}  、 ${….}的判斷。

通過(guò)分析后，把相關(guān)規(guī)則上到WAF上，保證了WAF攔截的有效性和防繞過(guò)。

 

關(guān)于監(jiān)控，主要的思路是數(shù)據(jù)采集+數(shù)據(jù)分析。而采集方面，包含的內(nèi)容非常之多，我們這里只看下通過(guò)hook大法實(shí)現(xiàn)的安全監(jiān)控。這一類(lèi)監(jiān)控通常是在漏洞發(fā)生的最根本位置進(jìn)行惡意識(shí)別，所以其獲取到的報(bào)警通常效果最好。

 

例如常見(jiàn)的SQL注入漏洞，好一點(diǎn)的情況是最外層有waf做攔截，但是waf存在各種各樣的繞過(guò)&誤傷等等，況且很多公司根本沒(méi)有沒(méi)有部署WAF。同時(shí)掃描器針對(duì)這種漏洞掃描起來(lái)也比較困難，需要考慮多種注入方式。那么如何有效的對(duì)SQL注入進(jìn)行識(shí)別，做到：如果存在注入攻擊便及時(shí)報(bào)警呢？hook 數(shù)據(jù)庫(kù)拿到查詢(xún)?nèi)罩静⑦M(jìn)行分析是一個(gè)很有效的方案。為了簡(jiǎn)化，這里直接取數(shù)據(jù)庫(kù)的查詢(xún)?nèi)罩緇og做分析（實(shí)際場(chǎng)景采用DB Proxy類(lèi)技術(shù)會(huì)有更好的性能和穩(wěn)定性）

由于每次的請(qǐng)求（包括攻擊請(qǐng)求）已經(jīng)轉(zhuǎn)化為對(duì)應(yīng)的數(shù)據(jù)庫(kù)查詢(xún)操作，故已經(jīng)無(wú)需考慮編碼解碼、引號(hào)閉合等問(wèn)題，只需要關(guān)注是否存在異常的查詢(xún)。例如：如果存在 union all select null,null 這樣的查詢(xún)操作，便為明顯的數(shù)據(jù)庫(kù)注入測(cè)試行為，并且關(guān)鍵的是，這種行為已經(jīng)完成了引號(hào)閉合等動(dòng)作，是一次成功查詢(xún)。

那么現(xiàn)在要做的，就是格式化查詢(xún)，最終匹配出惡意查詢(xún)行為并報(bào)警。

在演示例子中，我們實(shí)現(xiàn)了對(duì)查詢(xún)進(jìn)行語(yǔ)法解析并且替換字符串的功能。

圖上第一行為原始查詢(xún)，第二行是經(jīng)過(guò)解析和字符串替換后的查詢(xún)，可以清楚的看到，

第一次查詢(xún)?yōu)檎５臉I(yè)務(wù)請(qǐng)求

第二次查詢(xún)被解析成了select xx from xx where name =’s’ union all select null,null --。這是一個(gè)明顯的注入測(cè)試操作并且匹配了union all select null,null的規(guī)則

第三次 實(shí)際上仍然是黑客在做注入測(cè)試，只不過(guò)沒(méi)有成功閉合引號(hào)，一大串查詢(xún)測(cè)試僅是被當(dāng)做成了一個(gè)長(zhǎng)字符串。

通過(guò)這種方法，僅需要預(yù)定義幾種注入攻擊特征，便能很高效的對(duì)SQL這種攻擊進(jìn)行監(jiān)控識(shí)別。

 

PHP引擎的hook以及redis的hook也是類(lèi)似原理，從最根本層面發(fā)現(xiàn)入侵行為，排除其他干擾因素。

篇幅的關(guān)系，這里不詳細(xì)介紹。

我們?cè)賮?lái)看看基于流量的監(jiān)控。其實(shí)這一塊很早大家就在做，傳統(tǒng)的IPS、IDS就是做的這塊，也有很多人搭建開(kāi)源的snort等系統(tǒng)。但是實(shí)際效果來(lái)看，這些硬件、軟件系統(tǒng)都沒(méi)有發(fā)揮太大的價(jià)值，究其原因，有可能一個(gè)是規(guī)則方面的問(wèn)題，數(shù)量大而又老舊；一個(gè)是理念方面的問(wèn)題，只著眼于一個(gè)方向的特征識(shí)別（請(qǐng)求或返回）。

其實(shí)基于流量方面的監(jiān)控（這里指外部流量，非IDC內(nèi)部），能做的事情非常的多，但是還是那個(gè)問(wèn)題，覆蓋的太多 or 太寬泛，都會(huì)導(dǎo)致報(bào)警指數(shù)級(jí)增加，真正有用信息被淹沒(méi)。另一方面，外界的各種掃描是無(wú)時(shí)無(wú)刻的，這些信息觸發(fā)的報(bào)警實(shí)際上是無(wú)價(jià)值的。

如果只關(guān)注有效入侵&攻擊成功的高危漏洞，整體量級(jí)就會(huì)小很多，而且這些才是我們真正需要處理的。

在基于流量的監(jiān)控方面，大帶寬下數(shù)據(jù)包捕獲是一個(gè)很棘手的問(wèn)題。好在現(xiàn)在有PF_RING、DPDK等高性能數(shù)據(jù)包捕獲方案做支持。這兩種方案，都能達(dá)到線速收發(fā)，而新的瓶頸，似乎放到了如何快速解析4層or 7層協(xié)議的問(wèn)題上了。

而在入侵行為的識(shí)別上，現(xiàn)在普遍的一種觀點(diǎn)是識(shí)別請(qǐng)求與響應(yīng)報(bào)文，通過(guò)匹配兩個(gè)方向，找出已經(jīng)入侵成功反彈shell 上傳shell等，或者利用高危漏洞（例如redis 遠(yuǎn)程命令執(zhí)行、代理漏洞等）成功的情況，這種報(bào)警一般非常準(zhǔn)確并且不像是傳統(tǒng)IDS那樣量級(jí)巨大。

最后，我們來(lái)看一下以這次的struts2 為例，應(yīng)急響應(yīng)的流程該如何做。

 

如上只是一種推薦的應(yīng)急響應(yīng)流程，具體實(shí)施還得看企業(yè)的安全能力、漏洞種類(lèi)等多種情況。

最后，其實(shí)一個(gè)企業(yè)能不能做好安全，技術(shù)只是一方面，同時(shí)還要看公司整體的支持、公司領(lǐng)導(dǎo)的支持、體系架構(gòu)的建設(shè)等很多管理因素。但是不管現(xiàn)階段如何，總有方法可以改善并且做的更好。

公開(kāi)課視頻

讀者問(wèn)答

1.發(fā)現(xiàn)被黑客利用 ST2-045 漏洞攻擊，如何第一時(shí)間修補(bǔ)漏洞降低損失？

百度小灰灰：我們經(jīng)常遇到的case是，當(dāng)一臺(tái)機(jī)器被入侵后，黑客有可能會(huì)將這臺(tái)機(jī)器種植后門(mén)，當(dāng)做跳板，進(jìn)行內(nèi)網(wǎng)漫游，進(jìn)一步入侵，時(shí)間通常很快。這臺(tái)機(jī)器如果不停，一條魚(yú)會(huì)攪得一鍋腥味，影響到期他機(jī)器，影響將擴(kuò)大。

所以，建議先下線服務(wù)，或至少把外網(wǎng)先下了，再進(jìn)行安全排查，看是否有可疑進(jìn)程和網(wǎng)絡(luò)鏈接，如果判斷確認(rèn)沒(méi)有問(wèn)題，就可重新部署服務(wù)，強(qiáng)烈建議重裝系統(tǒng)再部署服務(wù)。

對(duì)于修復(fù)，建議替換成官網(wǎng)最新的 struts2 的 jar 包。經(jīng)常遇到的問(wèn)題是，業(yè)務(wù)線系統(tǒng)非常久遠(yuǎn)，老的 jar包替換成新的 jar 包，會(huì)遇到很多不可預(yù)知的問(wèn)題，這時(shí)建議使用 filter攔截器攔截content type中的惡意內(nèi)容。

2.對(duì)于類(lèi)似漏洞，企業(yè)今后應(yīng)該做好哪些方面的防護(hù)體系？

百度小灰灰：把問(wèn)題扼殺在萌芽中通常效果最好，也就是說(shuō)，在編碼階段，就要防止很多漏洞。比如，SQL 注入，要求開(kāi)發(fā)者強(qiáng)制使用參數(shù)化查詢(xún)，不使用拼接的方式。同時(shí)，大多數(shù)企業(yè)有很多安全設(shè)備，這些設(shè)備的最大問(wèn)題是沒(méi)有對(duì)規(guī)則進(jìn)行精細(xì)化設(shè)置，導(dǎo)致很多設(shè)備報(bào)警過(guò)多，都不知道哪些是真實(shí)有效的，處于無(wú)法運(yùn)維狀態(tài)。所以，要優(yōu)化規(guī)則，高優(yōu)關(guān)注攻擊行為。

如果企業(yè)自身安全能力有限，做一些外界的眾測(cè)，也比較有效。但是做眾測(cè)不是單單為了找漏洞，更重要的是反饋企業(yè)的應(yīng)用存在哪類(lèi)問(wèn)題。比如，眾測(cè)發(fā)現(xiàn)企業(yè)存在兩三個(gè) SQL 注入的漏洞，就需要告訴我們的開(kāi)發(fā)人員，可能有大量這些漏洞的存在，我們需要排查，解決類(lèi)似問(wèn)題，同時(shí)設(shè)定相應(yīng)標(biāo)準(zhǔn)，以后用安全的方式避免問(wèn)題再次發(fā)生。

3.對(duì)系統(tǒng)漏洞怎么進(jìn)行評(píng)估風(fēng)險(xiǎn)，確定修復(fù)的必要性？漏洞修復(fù)的流程步驟如何？對(duì)于像大規(guī)模主機(jī)的漏洞修復(fù)又該如何進(jìn)行修復(fù)更科學(xué)或快速？

百度小灰灰：如何評(píng)估？比如，linux 有些系統(tǒng)組件存在存在溢出問(wèn)題，有安全風(fēng)險(xiǎn)，這種漏洞通常在入侵到內(nèi)網(wǎng)后才能觸發(fā)，修與不修，安全整體收益不大。但是，如果修復(fù)，產(chǎn)生的不可控性比漏洞更嚴(yán)重，甚至?xí)l(fā)中斷業(yè)務(wù)，這種業(yè)務(wù)就不能接受。

比如，glibc版本過(guò)低，使用gethostbyname()可能會(huì)造成安全風(fēng)險(xiǎn)。但是貿(mào)然升級(jí)glibc會(huì)導(dǎo)致大量的依賴(lài)風(fēng)險(xiǎn)，對(duì)業(yè)務(wù)可能造成巨大影響。推薦的方法是，排查對(duì)外業(yè)務(wù)，如果使用了gethostbyname()，需要進(jìn)行升級(jí)。否則內(nèi)網(wǎng)中大量系統(tǒng)，不升級(jí)風(fēng)險(xiǎn)也不是太大。

漏洞的修復(fù)步驟，我只說(shuō)下 WEB 漏洞的修復(fù)，系統(tǒng)漏洞方法類(lèi)似。建議安全人員指導(dǎo)研發(fā)人員來(lái)修復(fù)，比如，SQL 注入，安全人員會(huì)對(duì)開(kāi)發(fā)人員說(shuō)，xxx 處存在 xx 類(lèi)型的 SQL 注入漏洞，使用參數(shù)化查詢(xún)，不要用拼接的方式，同時(shí)告知該漏洞的具體風(fēng)險(xiǎn)。而開(kāi)發(fā)人員對(duì)參數(shù)查詢(xún)很清晰，修復(fù)起來(lái)很容易。對(duì)方需要知道的是漏洞的類(lèi)別、危害和修復(fù)方法的方向，如果能給他代碼級(jí)的修復(fù)方法更好。所以我們也可以寫(xiě)文檔，總結(jié)常見(jiàn)漏洞的修復(fù)方法，讓他學(xué)習(xí)和修復(fù)，但是他修復(fù)完你必須進(jìn)行復(fù)測(cè)，如果復(fù)測(cè)沒(méi)有問(wèn)題，工單或者流程就可以關(guān)閉。

針對(duì)大規(guī)模主機(jī)的漏洞修復(fù)，如果規(guī)模很大，勢(shì)必會(huì)有統(tǒng)一的運(yùn)維系統(tǒng)去進(jìn)行操作、部署，不會(huì)讓你一個(gè)一個(gè)去安裝。所以，你要和運(yùn)維人員溝通，為什么必須修復(fù)，給出必要性，讓運(yùn)維人員進(jìn)行灰度測(cè)試，比如，有 20 萬(wàn)臺(tái)機(jī)器，先對(duì)2000臺(tái)機(jī)器進(jìn)行灰度測(cè)試沒(méi)有問(wèn)題，，再上一些機(jī)器測(cè)試，按部就班地進(jìn)行。

4.請(qǐng)您推薦下比較好用的開(kāi)源掃描器。

百度小灰灰：其實(shí)，我之前也推薦了 W3AF 的掃描器。為什么選它，一則是用Python語(yǔ)言寫(xiě)的，安全工程師一般對(duì)python上手很容易。其次，這是開(kāi)源掃描器，我們主要是借鑒掃描思路，甚至可以自己寫(xiě)一個(gè)掃描器。比方說(shuō)他的audit審計(jì)模塊，會(huì)包含大量常見(jiàn)漏洞的檢測(cè)和判斷方式和規(guī)則，參考這些規(guī)則就知道如何去實(shí)現(xiàn)一個(gè)掃描器了。

5.怎么才能成為您的同事？（實(shí)習(xí)生、正式員工）

百度小灰灰：

•  實(shí)習(xí)生：要求有安全背景、大量攻防對(duì)抗經(jīng)驗(yàn)。

• 正式員工：要求更高，需要是在攻防領(lǐng)域比較牛的人。

一句話：能力強(qiáng)就ok。有興趣的同學(xué)可以發(fā)簡(jiǎn)歷到 security@baidu.com 。

以上就是本次雷鋒網(wǎng)硬創(chuàng)公開(kāi)課的全部總結(jié)文，如果想看到更多網(wǎng)絡(luò)安全干貨，請(qǐng)關(guān)注雷鋒網(wǎng)宅客頻道，多多參與雷鋒網(wǎng)硬創(chuàng)公開(kāi)課。如果你有特別期待的嘉賓，也可在雷鋒網(wǎng)宅客頻道公眾號(hào)里留言，或許，你的男神/女神就會(huì)來(lái)講課啦！

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。