0x01 前言 越权漏洞相较于SQLInject、XSS、SSRF等漏洞,最大的不同点在于该漏洞和权限的架构设计具有强相关性,而权限的架构设计又强依赖业务属性,这就导致了几乎每个系统的权限架构都各不相同,自动化检测的难度非常之大,误报率非常高;内部的检测准确率无法有效提升,越权漏洞数量就很难有效的下降 关于越权漏洞的挖掘,从原理上来看并不复杂,甚至可以说是简单,最大的难点在于信息收集能力、细心程度、对业务的理解度,这个其实也没有什么好谈的 关于批量/自动化越权检测的文章在网路上寥寥无几,开源的工具更是少的可怜(某些大佬手里有牛逼工具除外),今天想要说的是在甲方,特别是应用数量三位数、

如何快速感知项目立项?如何感知应用上线?如何跟踪应用迭代?越权漏洞频发如何解决? 前言 应用安全如何做?这是一个老生常谈的问题,那为什么还要提这个话题呢?在笔者经历了短暂的两年多的应用安全建设来看,SDL的完整落地是一个很大的难题。当然,像其中的培训、代码扫描以及应急响应这几部分,各种落地方案很成熟,也就不提了。应用安全建设的本质就是运营,最难落地的差不多就是安全评审了。 如何进行安全评审,从方法论来看也不是什么难题,通过STRIDE威胁建模模型和DREAD威胁评级模型,再融入公司的实际情况,一份定制化的评审CheckList差不多就可以出炉了。然后问题就来了,在哪个环节切入?通

凡学问者,皆有术法道三大层次。法者,于术精通而升华成理,复以理指导术之提高,学问之提高层次。达于法者,达中乘也。 个人理解的企业应用安全建设 参与企业应用安全建设两年有余,在公司的应用安全建设比较早期的时候参与进来,最近一年又有幸深度参与了多家中小型公司的应用安全建设,无论是基于云安全平台还是基于自研平台的企业安全建设都有了些许思考。也渐渐构建起了自己的安全观,“企业安全建设是一个动态博弈需要持续投入的过程。安全是业务的一个重要属性,是业务的核心竞争力之一,应用安全的本质是运营。安全建设更重要的是看待安全问题的思路、角度和高度。攻防之道,相辅相成。” 什么是运营,一切围绕着网站产