- 1、本文档共37页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
一场永不终结的猫鼠游戏
--研发安全的持续运营
苏宁易购/ 黄宙
000
个人介绍
黄宙 tombook
2004
全职境外
1999 安全渗透 2007 2011 2014
接触网络 技术研究 ISO27001 IBM 苏宁易购
2005 2008 2013
潜伏加入各类安全组织 《黑客防线》 中国电信 北理工硕士
攻防实验室
最快通关奖
2
第一部分 群鼠到来祸从天降
第二部分 万众创新理论升级
第三部分 产品为本跨界创新
第四部分 大众创业能力输出
第五部分 整合资源运营为王
3
“群鼠”驾到
XSS漏洞 (特征型)
少年黑客
弱口令--员工/子系统管理员 (暴力型)
白帽临时工
未授权访问、权限绕过 (认证型)
黄牛党
设计缺陷、逻辑错误 (逻辑型)
职业黑客
企业信息 (展现型)
2016-4-21 4
各电商安全部门现状
1. 日常忙于已上线业务的“漏洞挖掘”。
2. 安全专业人员数量不足 ,无法承接每月
研发线所有项目安全评审与项目日常安
全测试。
3. 不安全新功能 ,不断上线。
4. 每月X-SRC易发现型漏洞 ,“烧钱”不止。
2016-4-21 5
风险产生与控制
业务型 功能型
规则类漏洞
--密码策略
架构/详设安全 标准类漏洞
--XSS,RFI,SQL
研发 外包/外 历史类
购 --无安全测试,
无源码,无维护
2016-4-21
文档评论(0)