似水流年,凄然七月天。
不忘初心,欣然向前行。
这个七月,原本以为是一个很好的开端和转折点,结果成了一个悲喜交加最终让我感觉非常痛苦的一个月。
蛋碎了一地。
实在是懒的写东西,刚想玩会游戏,转念一想,算了,还是写写吧,一会再看看代码,什么时候决定卸载了游戏基本我就成佛了,现在能做的就是恢复多一点的奋斗状态。
北漂四个月了,已经熟悉了帝都的工作环境和工作内容。渐渐进入养老的节奏,啊,草泥马啊,我实在是不想这样养老,可是身体却不听使唤,懈怠。
7月13号去了魔都,参加 OWASP 7月14号的上海活动。曹老板带路,我算第一次见识下大场面什么的。一直觉得自己做的事情很山寨,出门看看外面大牛们都在做什么啊。
7月14号到了会场,坐在会场中间靠南位置。一进去发现前面几排目测是若干屌丝,正在交头接耳握手和互换名片什么的,嗯,后边证明确实如此,坐在屌丝们中间的正是自称屌丝中的战斗机的下午的一位PPTV的演讲者。
会议日程在这:http://www.owasp.org.cn/OWASP_Conference/2013forum/agenda,包括议题名称、演讲者和PPT都在这了。我就不一一列举了。
印象比较深的有云舒的《云计算安全的未来——安全设备虚拟化》,据说讲过两遍了——在之前的某次OWASP讲过一回。由于阿里采用的是Xen虚拟化,刚巧我之前做过Xen的一些二次开发和Xen以上应用的环境部署,对这些概念比较清楚,所以对于云舒传达的意思比较理解。
云舒先是提了下当前云WAF存在的一些问题,譬如说无法拦截直接访问主机的攻击,对于云扫描可以用反向代理绕过,部署配置相对麻烦什么的。而他是想把安全设备由厂商提供的黑盒子(产品服务器)变成阿里云上的一台虚拟机,依赖SDN网络来取代传统的黑盒子和这种云WAF,优点是成本低、部署快、稳定高效。想要防火墙,起一个防火墙虚拟机立马就有了。如果安全厂商,可以将产品部署到阿里云的主机上,作为一个APP应用,其他的阿里云用户在需要相应服务的时候,可以直接启用,非常方便。目前的困难在于,SDN网络基础架构暂时未获得全面支持,安全厂商对于这种模式的知识产权保护和利益分成存在疑惑,所以很难推进下去。
其实很早之前,为了应对所谓的并行风暴(开机风暴),已经有些杀毒厂商做了类似的产品,而且做得更底层(额,可能高层一点的解决方案与这不一样)。当时诺顿的工程师给我做的演示是,在VMware ESXi上新建一台虚拟机,虚拟机部署诺顿的一套杀毒系统,之后所有的ESXi上的虚拟机都可以享受到诺顿的防护。而且我觉得云舒的构想当中还有另外的一些问题,比如说如果是依赖于阿里云的IAAS或者PAAS平台,会不会产生阿里云一家独大的情况?如果用户已经有了自己机房,又如何使用这种服务?机房改造+私有云?一个安全服务虚拟机是否可以支持多个云主机,如果支持那么云主机用户是否可以自定义一些规则(可定制性)?
这些问题留下吧先,静观其变。
后边连续几个演讲者,都是讲的一些使用Agent做灰盒测试的技术,类似于HOOK一些关键函数,然后在函数执行时可以调试并发现问题。这样最大的好处是可以发现一些黑盒测试无法发现的没有回显的问题,也能解决自动化扫描器依赖回显的问题。
下午回来先是将了一个ISO 27000,一个有关信息安全标准的东西。以后写方案,里面的参考标准可以更新了:)
之后是一个腾讯做网游安全测试的哥们讲的什么竞态安全测试,最终的方法是利用proxy抓取客户端的请求时序。内容暂且不说,这个东北哥们太搞笑了,特别像前年春晚那个塞门票假装模特的小品中的设计师。
而后屌丝中的战斗机讲了《渗透那点事》,说的是一次渗透youku&tudou和sohu&sogou的故事,都是直接拿到域管理员权限的。开场前他出乎意料的问了下“没用过zabbix的举手”,我羞涩的举起了右手,他继续说:“没举手的都是黑阔”。zabbix是个神马的,最后我看明白了,包括他提到的另外如zenoss的东西,是一些运维管理系统。利用弱口令或者其他方法拿到运维管理系统权限,而这些管理系统的权限非常大,之后利用搜集到的一些信息畅游内网。可以说职业黑阔的入侵确实很直接,很有效。而像我这样的半吊子,基本上是以正面应对为主,根本不会去找这些东西。参考资料:《从一个默认口令到youku和tudou内网(危害较大请尽快修复)》和《看我是如何利用zbbix渗透sogou&sohu内网的》。
再后边是一个复旦的研究生,讲的是JAVA虚拟机安全问题《JVM逃逸:分析、利用与防御》,由于身体不适(早饭吃了拉肚子)就提前撤了,回去特么还要苦逼的写方案。
之后去了杭州,跟支付宝的人谈了一些事情,发现支付宝就是牛逼,三层每隔几米就是一个空气净化器,这尼玛让来自帝都的我们情何以堪,杭州空气那么好啊!而且支付宝的人果然专业,谈吐非常有底气,说明技术积累确实很有深度了已经,佩服。
唉,魔都和杭州都特么太热了啊,太热了啊,太热了啊!!!
整个七月对于我来说发生的事情太多了,尤其回到帝都之后受到了几天前的“噩耗”,非常难受,打击巨大,一点点动力又给磨没了。之前答应给高中二写的程序也拖了又拖,唉,还好他不着急,反倒是我着急的不好意思了。
凄惨的七月啊,不会忘记的。告诉自己打起精神,从今天开始,好好努力,继续奋斗!
留言交流