당신이 이해 하지 않는 내 눈물: 안전의 방문에 일부 경험 기업에서 일

당신이 이해 하지 않는 내 눈물: 몇 가지 경험을 방문 하는 기업의 안전. 안녕하세요 모두 들, 오늘 우리가 공유 경험의 일부에의 착륙 과정의 보안 시스템 마지막 깊은 느낌 후 읽기 문서 "사용자의 보안," 다음 사용자의 "보안" 마이크로-편지 그룹 및 의사 소통, atiger77 동지 이 평범한 질문 발견 되었습니다: 이론 이론, 그리고 안전한 착륙 한 가지.

Struct2의 발발과 주 후에, 사방에, 확산 가능한 가장 짧은 시간에 누출의 위험이 높은 Fastjson 전에 동지의 그룹 다시 개발자의 승계가 발생 했습니다, 그리고 컴퓨터 룸 기계에 결과 struct2 악용 하는 경우에는, 많은 연구 및 개발 부서에서 동지를 언급 하지 않기 위하여 동료 struct2만이 문서와 몇 가지 경험을 방문 하는 안전의 내 자신의 요약을 의사 소통을 모두 업그레이드할 수 없습니다.

오래 된 단어 중 하나는, 어떤 보안 문제의 본질은 인간, 사람들이 아무리 좋은 보안 시스템, 보안 인식, 없는 경우는 가짜의 형태로 느슨하게에 있을 것입니다, 전체 시스템 구멍, 허점으로 가득 또한 것 이다, 그래서 나의 초점을 밀어 일 사람들의 발전을 겨냥.

오른쪽 엉덩이 찾아.

엉덩이 각 연구 및 개발 팀, 유일한 지도자의 지도자를 제어할 수 있습니다, 작품을 홍보 승무원 코드 해당 연구 및 개발 엔지니어를 직접 쓴 지도자 명령 보안을 보장 하기 위해 그들의 자신의 코드를 수정 하는 그들의 자신의 teamer 표시 되지 않습니다. 이 문제는 물론 teamer 느낄 것 이다 하는 수정 해야, 해당 연구를 무시 하 고 통신, 지도자, 리더는 종종의 개발을 방해 하는 경우 큰 할인 통신 작업의 결과로.

그래서 나는 당신에 게 기술을 가르칠, 검색할는 XSS 취약점 중 일부는, 당신은 말할 수 당신이 그것 취약점을 발견은 말을 하지 않는 프런트 엔드 버그를 발견 하 고 다음 디지털 또는 비논리적 문자열 링크, 버그, 제출의 무리에서 무작위 점프를 구성 하 고이 사용자 경험에 영향을 수정 하거나 심지어 코드 사양 향상은 유용할 것 이다. 이렇게 하는 이유는 회사에 왔고 내가 적은 사람들의 참여를 공유 하는 기술, 심지어 내가 정보를 사기 위해 돈을 지출, 우리는 모두 웃었다, 그래서 표면 보고 큰 지도자에 게 쿵푸를 하지 않으면 발견 하기 때문에: "당신이 공유 하는, 기술 봤 허점, 그래서 당신이 도와 작품을 홍보 해야 설명." 그건 아무 사용도, 그는 몇 가지 기술적인 세부 사항, 그리고 도전는 큰 지도자 아니라면 말 대 꾸, 큰 지도자에 동료의 개발을 이해 하지 못했지만 일단 프로 모션의 세부 사항에 대 한 큰 리더십은 매우 제한 된 있기 때문에, 실제 방문 일 종종 세부 사항에 의존, 큰 리더십 완전 한 수 없습니다, 그가 수만 익스프레스 동의 및 지원의 구체적인 구현 이 것은 절반 노랑, 어떻게 개발자 가끔 큰 지도자 지원 하지 않는 언급 하지 않기 위하여 프로젝트 수정 거부 이후에 설명 하는 경우에 시간 낭비 큰 리더십 사이드 쇼 기술에 그렇게 해야 합니다 특정에서 첫 번째 작업 직원, 뿐만 아니라 기술적 측면 뿐만 아니라 대 인 관계를 포함 하 여 작업.

나 나 같은 일 동지의 많은 것을 알고: 회사에 권위 매우 낮습니다, 낮은 기관, 우선 순위를이 시간이 될 것입니다 비즈니스 동료의 요구 보다 훨씬 낮은이 어떤 선택을 할 것입니다? 적극적으로 작업을 계속 것입니다 또는 제공 하 시겠습니까?

처음에 나 선택 했다, 주고 회사의 큰 보스 비즈니스 근원 때문에. 많은 동료의 눈에서 우리 회사의 사업에 대 한 수요는 보안 요구 사항 보다 훨씬 더, 그래서 여러 번 위험 허점 발견 회사 동료 이것에 주의 지불 하지 않습니다, 또한 사전에 몇 시간 전에 나의 일 협조 하지 않는 양보, 문제 발견, 아무도이 문제를 제기 기억 연구 및 개발 통신 시스템에 작성 하는 경우에 이러한 허점의 대부분은 여전히 반 달 후, 공식적인 의류 회사의 시스템 구축 및 문제, 경우 작업 적극적으로 다른 한편으로 시스템의 건설을 추진 하는 한 손으로 작업 및 지도자 통신 작업 부정적인 하지 않습니다, 경우 몇차례 방문, 촉구 하 그래서 기술 공유 열기 연결 됩니다 취약점 발견, 트리거는 일련의 공격 작업을 여전히 수정 되지, 간섭 정상적인 페이지 표시, 수정, 스스로 보호 하는 법을 배워야 과정에서 강제 연구 및 개발 직원 먼저 서 면된 정보를 작성 해야 할 때까지 위의 공식 의류에 결정적인 메일 또는 exchange의 개발, 날짜, 파일을 두고 지도자의 죽음 특정 연구 및 개발 엔지니어를 직접 지도자를 수천 수만의 수정 또는 실패 것입니다 후 불필요 한 문제, 작업 후 정식 서비스에서 직접 방지 하기 위해 증거의 반박으로 사용할 수 있습니다.

의사 소통 능력

1th에 지도자 작업을 할 수 있는 방법을 언급 한, 지도자의 인격은 다른, 올라와 다른 다양 한 성격에 적응 해야 통신 작업을 수행 하는 방법 걸릴 우리의 회사의 내 생각의 여러 지도자 예: 프런트 엔드 엔지니어의 지도자 젊은 여자는, 문자는 매우 직선 그녀 내 XSS에 제출 거의 특히 코드 재작업은 단순히 불평 처리 어렵습니다 대 한 내 작품을 이해, 문제는 처음에 협조 하지 않을,이 시간 당신은 낙 심, 채팅 농담에 더 많은 기회를 찾아, 그녀의 미묘한 습관, 나는 그녀가 그녀의 아름 다운 영을 찬양 하 고 과일을 먹고 싶은 싶은 발견 때까지 주의를 수 없습니다.

그래서, 시간에서 순간, 몇 가지 과일을 살 것 이다 전달 달콤한 입, 몇 가지 더 젊은, 말 하 그녀의 옆 머리 오늘 정말 좋은 단어, 천천히 난 그냥 몇 가지 큰 동작을 하 고 있는 통신 관계의 기초가 되도록 관계에 가까운 구매 간식과 다음 뻔 뻔한 두꺼운 약간 뿌린 다 안전 작업의 정상적인 진행을 보장할 수 있습니다. OA 시스템 엔지니어, 개발에 대 한 유인물 가스 산동 남자의 큰 패턴을가지고, 내 아이디어는 적극적으로 그의 부정적인 감정과 그의 추론을 해결 도와 그리고 그 허점과 같은 단어를 주셔서 감사 합니다 말을 더 수정 하는 데 도움이, 만약 몇 일 늦게 나 또한 그에 게 감사 그의 하드, 작업을 홍보 하는 인간 자원 이다. 온라인 쇼핑몰의 개발 젊고 활기찬, 하지만 가끔은, 내가 할 직접 비밀리 염탐 그들의 최근 비즈니스 작업을 온라인 쇼핑몰 작업 영역에 대 한 책임을 내가 작품을 홍보 고 다음 의미 및 보안 관련 작업의 문과 표현, 온라인 몰 지도자의 개발 번역 그 느낌과 그가 무엇을 하 고 지금 수 비즈니스 요구 사항을 추가 보안 요구 사항을 충족 수 있습니다. 그 아이, 그의 태도 가장 좋은 방법은 시스템 구축, 여기를 적극적으로 홍보 하는이 시간 더 안정 되어야 하므로이 기술을, 특히 알리의 검사 보고서를 검색 하는 응용 프로그램 보안 권장을 최근에 응용 프로그램의 지도자에 대 한 알리의 브랜드 큰 명성을 울렸다, 빅 보스의 머리에 알리의 안전 보고서를 보낼 다음 그에 대 한, 로비는 app에 있는 구멍을 많이 있다 그리고 우리가 할 수 있다면 0 구멍, 우리 큰 지도자 시스템 설계를 지원할 것 이다 있도록 사업 추진에 다른 쪽을 칠 수 있다. 격언은 항상 문제 보다 더 많은,이 문장을 절대적으로 사람들에 게 적용 되는 기억 하십시오.

작품의 발전을 위한 원칙

이 두 가지 포인트를 읽은 후 일의 원리는 연구를 돕고 있다 및 개발 엔지니어 일 보다는 달성 작업 할당, 작업, 있기 때문에 그리고 만약 당신이 당신이 달성 하 고, 작업의 세부 정보를 의사 소통을 원하는의 정신 이러한 기술과 아이디어의 유래는 알고 반드시 확실히 귀하의 요구 증가 어떤 진짜 변화 없이 그의 작업 하는 경우에 특히 당신의 우선순위는 절대적으로 낮은, 때문에 작동 하도록 수 있습니다. 그러나 일반적인 목표 및 작업, 당신과 그를 생각 하 고 의사 소통 언어 구성 그의 위치에 서 서 하는 경우 다른 엔지니어 작업을 완료, 그래서 그는 상대적으로 활성 작업 내용 완료 될 것입니다 일반적인 목표와 목표에 대 한 모든 방법에 당신과 그는 느낄 것 이다. 이 통신의 핵심이입니다 그는 당신과 그가 일반적인 목적을 위해 또는 당신이 작품의 상륙을 지키기 위하여 그의 목표를 달성 하기 위해 그를 돕고 있다.

만약 당신이 그것을 느낄 수 없습니다, 몇 가지 세부 이러한 시작: 말을 좋아하는 수 같은 사람의 입 중독, 기억할 필요가 당신은 같은 상황, 같은 b에에서 똑같은 말을 뱅 뱅 말을 배워야 한다, 당신은 또한 스틱 말, 즉 다른 사람들의 공통 언어를 모방을 같은 맥락에서 배울 수 있다.

각각의 다른 장식, 하려고 하는 정보의 장식의 일부를 참조 하 고 그래서 그와 함께 채팅을 다음 이며 채팅 작품에서 그는, 프로젝트 관리자의 장식 도둑 도둑 질 장식 원료 도둑 됩니다, 소위 일반적인 적, 친구 이며 친구는 그것에 대해 얘기를 모든 좋은 것 들. 그리고 그것에 올 때 당신이 무슨 일을 하는지 표현, 하려고 그의 주요 직업에서 필요로 하는 무슨은, 특히, 이러한 요구 사항 및 보안 간의 공통 분모를 찾을 다음 사업 앞으로 밀 었 다 또는 그가 그는 우선 순위가 높은 비즈니스 요구를 달성은 경쟁자를 공격 하는 겨냥 하는 방식으로 그것을 포장을 운영 또는 프런트 엔드 비즈니스에 대 한 필요 보다는 우선의 최종 보안 요구 사항입니다.

4: 배우 작품에 중개 회사에 나 줬 새로운 프로젝트의 진행 상황을 의도 하지 않는,만 실행할 수 있습니다 모든 사람의 작품 진행에 뒤에 서 서, 최신 연구와 개발 아이디어와 작업 내용 파악 하려고, 오랜 시간 발견 큰 장점, 채팅을 하 고 그들에 게 연락 하는 기회를 찾을 수 있습니다 하도 아는 최신 개발을 진행 하는 동안 대 인 관계의 안정성을 확인 합니다. 때문에 메시지 효율의 작품에 너무 많은 작품은 매우 낮은 발견, prevarication, 정보의 교환 뿐만 아니라 낮은 품질, 여러 번 땅의 실제 작업을 서 면된 증거의 작품을 홍보 그들의 노력의 단지 증거는 영향을 주지 않습니다, 위에서 언급 했 듯이, 보안 질문을 올릴 때 먼저 보낼는 증거는 문제를 발견는 이중 연구를 변경 하는 것 들의 개발 나 책임,이 동작에는 많은 사람들의 눈에 사실 prevarication 책임의 시작 생각 될 것 이다. 그래서 말할 수 있는 연구 및 개발 담당자와 함께: "그것을 전송 하지 것입니다 메일 무료 보고, 우리 경우에도 개인에 변화 리더십 CC의 해결책." "다른 사람 수 있습니다 완전히 동의 느낌과 그에 게 얼굴을 주고 있습니다." 이것은 강한 인 하지만 전자 메일을 좋아하지 않아 동료의 작품의 토론은 매우 효과적인, 많은 연구와 개발 수요 메일, 메일, 매우 혐오의 큰 숫자를 보고 그에 게 민간에서 할 수 있는 간단한 것 들을 얼굴.

공유: 인간의 보안 테스트 팁

또한 그 자신 기술 공유 하고자 밖으로 던져, 우리의 회사는 완전히 인간의 육체 테스트를 사용 하 여, 자동화 테스트는 완전히 사용이이 시점 세대 보안 검사 문서 생성기는 burpsuit을 내장.

첫 번째 단계:

이 포트는 LAN에서 사용할 수 있도록 프록시 메뉴 모음에서 모든 인터페이스를 선택

2 단계:

사이트 메뉴 막대에서 마우스 오른쪽 단추로 클릭 도메인 이름 여기 데모 투어 마스터 역을 테스트 하 고 싶습니다

큐에서 도메인 이름 테스트

동시에 수동 검사 설정

검색 페이지에 검색 큐에서 대상 옵션을 엽니다

다음 테스터 어떤 테스트 인트라넷을 통해 8080 포트 보안 스캔을 시작할 수 있습니다 그리고 로그인 권한 검사를 모두, 활성 검색, 몇 가지 연구와 개발 하지 말해 좋은 테스트 과정에서 새로운 기능을 테스트할 수 있습니다 보다 더 깊이 될 수

요격을 잊지 마세요.

보고서를 생성 하는 방법에 대 한 얘기 하자.

도메인 이름을 마우스 오른쪽 단추로 클릭 하 고, 보고서를 선택한 다음 모든 길을 갈 다음

마지막 단계에서는 보고서 파일을 생성 하는 경로 제공 해야

보안 수준을 설정 하려면 큰 지도자에 게 제출 하는 문서를 참조할 수 있습니다.

만약 당신이 어떤 제안이 나 비판, 메시지를 남겨 주세요.