0x01 寫在最前面
拉勾網(wǎng)在歷史上一直都沒(méi)有可持續(xù)建設(shè)的安全基礎(chǔ)服務(wù)歧譬,我來(lái)了之后一直在梳理和搗鼓岸浑,老板也特別支持,對(duì)于安全更加期待是可持續(xù)化建設(shè)的瑰步。在這個(gè)階段,快速建立一些有用的東西解決當(dāng)前的困境璧眠,從舒適的環(huán)境跑到創(chuàng)業(yè)公司本來(lái)就是一個(gè)挑戰(zhàn)自己的過(guò)程缩焦,從0-1的技術(shù)挑戰(zhàn)读虏,會(huì)比從1-5的挑戰(zhàn)深入。這個(gè)過(guò)程袁滥,我相信每個(gè)人都經(jīng)歷過(guò)盖桥。感謝在后期加入我們的 @kyle,還有 @bing题翻,感受到每個(gè)人都在成長(zhǎng)揩徊,感謝公司給的資源。
0x02 第一個(gè)客戶“大鯤”
對(duì)于核心業(yè)務(wù)嵌赠,當(dāng)前比較重點(diǎn)的就是大鯤了塑荒,短期項(xiàng)目發(fā)布和專家對(duì)接,這個(gè)涉及到金流的服務(wù)目前對(duì)于拉勾是最火的一個(gè)點(diǎn)姜挺,也是攻擊者最喜歡的點(diǎn)齿税。(誰(shuí)不喜歡錢?)
每個(gè)創(chuàng)業(yè)公司凌箕,在上線新業(yè)務(wù)的時(shí)候,都在趕開發(fā)進(jìn)度词渤,安全需求變得可有可無(wú)牵舱。在這個(gè)過(guò)程中如果不是有充分的安全技術(shù)考量,這事肯定沒(méi)譜缺虐,特別是涉及到金流的時(shí)候仆葡。大鯤在這個(gè)壓迫的環(huán)境下,見證了安全的成長(zhǎng)志笼,并且大鯤是我進(jìn)入拉勾網(wǎng)之后沿盅,第一個(gè)“客戶”。
在@bing加入后纫溃,不止一次看到 @bing 往大鯤那邊跑腰涧,他也順利成為了大鯤項(xiàng)目的安全負(fù)責(zé)人,我也會(huì)定期跟大鯤的負(fù)責(zé)人@vee聊安全的需求紊浩,對(duì)于安全窖铡,@vee一直都很慎重,也特別支持坊谁,這里給大鯤的兄弟點(diǎn)個(gè)贊费彼。
0x03 服務(wù)設(shè)計(jì)圖
面對(duì)項(xiàng)目組快速的迭代,這個(gè)環(huán)節(jié)如果安全沒(méi)有自動(dòng)化的東西輸出口芍,明顯是不靠譜的箍铲。對(duì)于安全自動(dòng)化,我們內(nèi)部做了一定的討論鬓椭,并且明確的把需要做的東西規(guī)劃出來(lái)颠猴,然后就有了現(xiàn)在這個(gè)架構(gòu)关划。
由于老板是從騰訊出來(lái)的,大部分的時(shí)候老板更喜歡原生的東西和服務(wù)翘瓮,面試的時(shí)候贮折,老板也說(shuō)過(guò),如果可以资盅,盡可能自己開發(fā)调榄,除了迫不得已,且特需要的情況下呵扛,我們大部分都采用自建開發(fā)的方式(調(diào)度器每庆、規(guī)則掃描、黑盒掃描等)择份,同時(shí)通過(guò)階段性挑戰(zhàn)來(lái)降低我們的金錢投入扣孟,給公司節(jié)省一筆不菲的資金。
0x04 規(guī)則化
為了保證業(yè)務(wù)能夠長(zhǎng)期穩(wěn)定持續(xù)的發(fā)展荣赶,在開始設(shè)計(jì)的時(shí)候凤价,默認(rèn)我們就采用規(guī)則化,服務(wù)化的開發(fā)思維拔创,這樣就能保證每個(gè)人都能負(fù)責(zé)自己的服務(wù)利诺,并且不斷的迭代更新,互不干擾剩燥。(@kyle 跟 @bing成為了第一波規(guī)則的貢獻(xiàn)者慢逾,也是規(guī)則開發(fā)的成員)
什么叫規(guī)則化?
“規(guī)則化”就是建立完整的規(guī)則模型灭红,所有的掃描規(guī)則都固化成請(qǐng)求侣滩,按照某個(gè)特定的玩法,存儲(chǔ)到db变擒。底層在跑的掃描節(jié)點(diǎn)根據(jù)需求不斷的reload規(guī)則君珠,并且根據(jù)調(diào)度器下發(fā)的任務(wù)進(jìn)行掃描。
規(guī)則化有啥好處娇斑?
"規(guī)則化"之后策添,每個(gè)安全人員只需要經(jīng)過(guò)簡(jiǎn)單的培訓(xùn),就可以實(shí)現(xiàn)10秒寫一條掃描規(guī)則的能力毫缆,甚至有的時(shí)候根本就不需要10秒唯竹。
規(guī)則化比模塊化哪個(gè)更好?
“模塊化”是針對(duì)像bat那種安全人員特別密集的環(huán)境苦丁,他們擁有更高的資源浸颓,而且人的技術(shù)能力特別強(qiáng)的前提下,模塊化更加適合,但是對(duì)于我們這種小公司猾愿,這玩法完全不行鹦聪,但是我們也支持“模塊化”账阻,只是針對(duì)性的模塊化蒂秘,比如延遲注入的攻擊模塊、盲注的攻擊模塊之類的淘太。當(dāng)然姻僧,寫出來(lái)之后需要有一定的開發(fā)能力的人才能看懂,但是“規(guī)則化”則是智商不低于正常人都能看懂蒲牧。
服務(wù)化我就不解釋了撇贺,大部分微服務(wù)都是這樣來(lái)的,這個(gè)解釋就沒(méi)意思了冰抢。
0x05 后續(xù)
后續(xù)會(huì)逐步把掃描之類的東西都寫出來(lái)松嘶,畢竟寫東西就是沉淀的過(guò)程,可能慢挎扰,但是肯定會(huì)寫翠订。
