网站漏洞测试研究工作的开展与学习
今年的工作重点是跟随团队的方向调整,从业务安全转向安全研究。说到安全研究,很多人想到的是分析漏洞,挖洞,写利用工具。当然,这是其中之一,安全总是与漏洞有着千丝万缕的关系,但漏洞只是结果,研究本身包括更多。在企业里研究其实有点尴尬。原本安全团队是企业不产生利益的边缘支持作用,忙的时候灭火,闲的时候背锅的安全研究是边缘的边缘,每天做奇怪的东西,不知道有什么用。最重要的是,对上司来说,没有量化研究性工作的好方法。
安全研究的表现成果分为两部分,一部分对外,主要包括刷漏洞/感谢,写技术分析文章提高影响力,写PR文章提高曝光度,另一部分包括在内,但业务方向本身也有自己的局限性。优秀的设计不一定是新的,但一定是好的,优秀的研究不一定是好的,但一定是新的。正因为如此,在企业中做安全研究有点像《进击的巨人》中的调查兵,不仅吃力不讨好,而且经常死在半路上。结果,大家面临的是荒芜的未知,没有人的境界,一条路是黑色的,还是马上停止损失?
既然是工作,就必须生产吗?无论是KPI还是OKR,都需要能量化结果的指标。优胜劣汰是社会不变的规律,这没什么好说的,任何评价指标都是双刃剑,在指标的压力下容易只关注结果。例如,挖掘脆弱性本身是寻找安全问题,但指标关注脆弱性的数量而不是脆弱性的品相,很多人有可能把软件的错误作为脆弱性提交。一旦只追求结果,人们很容易想办法抄近路。在抄近路的过程中,人们很容易迷失真相,他们的工作能力也会逐渐消失。虽然有很多吐槽,但是要做一行就要做,所以经常考虑如何做安全研究。研究二字本身包含了不可预测的投入,目标很重要。没有人能告诉我这个方向是否能做到。即使站在他们自己的角度,也许不适合你。
应用学术界研究的四个阶段:
第一阶段,在领导指定的领域做,不必考虑方向,只要把事情做到极致。
第二阶段,自己找方向,在领导的建议下筛选,最后选择方向取得研究成果。
第三阶段,自己探索方向,自己判断能做什么,自己选择的方向有研究成果,这个阶段完全独立完成,不需要领导的参加。因为比你知道这些领域的少。
第四阶段,带着第一阶段的人,指导他们取得自己的研究成果,也就是说让自己成为领导人。但是,社会和学校的大不同之处在于,很少有合适的领导人,大部分人都是自学才能,这也是安全研究和学术研究的大不同。漏洞本身随着系统实现的变化而变化,实现是工程化的领域,因此对安全研究更加赞同。