前段时间,考虑找专业团队帮忙,对知识星球业务系统做渗透测试,主要目的是尽可能发现知识星球产品中存在的服务端风险,免得我们自以为安全,实际上漏洞百出。
我们的网络安全防护主要是团队自己规划与实现的,肯定存在不少缺漏。2019、2020 每年都做过一次众测,2019 年请过一支外部安全团队做过渗透测试,效果差强人意,暂时还没发现特别大的问题——这反而让我觉得有些忐忑。
这次本来设想的核心目标是:
- 获得服务器主机/Web Server/数据库等关键设施的访问权,获取关键数据(如拖库);
- 发现可能可以导致破坏上述关键设施正常运行的安全风险(获取本地控制权或远程破坏都可以)。
请高手做渗透,其实就是想看看,从外部视角,高手视角,是不是能打穿,有哪些严重问题急需修复(一些相对中低风险的诸如 XSS、App 风险,可以不要求,这些风险通过众测来收,效率还高)。
一开始,请朋友协调专业的安全公司,希望找里面的专业团队(不仅仅是对外的安服团队)提供服务,但一番交流之后,就走进了标准的商务流程——感觉被当成一个普通的销售项目了。