【CTO专访】漏洞盒子CTO讲述一个黑客的安全测试平台创业之路


1.jpg

张天琪

漏洞盒子CTO

 

漏洞盒子获,已获3000 万元pre-A 轮融资,一个高效的企业级互联网安全测试平台。

张天棋,现任漏洞盒子CTO,一直做安全研究,后来在阿里巴巴集团安全部负责阿里云盾相关的事情和集团业务的安全SDL。

 

Q:您介绍下漏洞盒子。

A:漏洞盒子是一个高效的企业级互联网安全测试平台,通过在漏洞盒子中融入契约精神、有效沟通以及资源的合理配置,致力于为客户提供完备的企业级互联网安全服务。借助平台上汇聚了全球顶尖安全专家、技术团队,帮助企业从根本上发现和解决安全问题,同时为客户提供高级企业安全增值服务。漏洞盒子也是国内最知名的互联网安全网站FreeBuf黑客与极客(FreeBuf.COM)的兄弟产品。

 


Q:为什么会选择加入漏洞盒子这个项目呢?

A:最早FreeBuf还是论坛形式,大家在上面讨论安全的各种,是一个民间线上的安全组织,当时我还在上大学,一直自己在折腾安全相关的事情,一个机会加入了FreeBuf,就认识了现在公司的CEO袁劲松。

因为最早大家在线上就认识,后面也一直在利用业余的时候为FreeBuf出力,我到阿里之后,大家开始想以公司的形式来运作,本身自己在安全这个领域已经做了很多年,各类安全相关的服务和产品也基本都接触过,有些自认为比较创新的想法,而这些想法在乙方或者甲方由于各种限制都难落地和推进,所以希望出来创业,能按自己的想法落地一些事情。

 

Q:市场上有乌云众测、白帽众测,漏洞盒子和他们有什么区别吗?

A:单纯的从平台本身运作的方式来讲都是利用共享经济,社区的力量来提供安全服务。但漏洞盒子更注重做真正的互联网化的企业级安全服务平台,把控测试人员的技术能力,身份背景,漏洞质量。从漏洞处理的流程上能够真正做到透明,完整,贴合企业做安全SDL的思路和流程。漏洞盒子更注重品控和服务的质量,同时我们也希望不仅仅将安全测试SaaS化,能够通过安全测试引入一套完整的安全解决方案。

 


Q:漏洞盒子平台的技术能力会不会要求更高一些?技术难点在哪里呢?

A:漏洞盒子作为SaaS化的安全服务平台,平台本身的安全性是关注的重点,否则自身的安全没做好,企业也不可能愿意到我们平台上接收漏洞,进行漏洞管理等一系列流程。我们在数据的存储,加密上也下了不少功夫,能够确保恶意的攻击者即使获得了一定的权限,也很难拿到测试人员的数据和企业的漏洞数据等敏感信息。当然作为平台核心的能力还是靠人,漏洞盒子自有安全团队的技术能力和外部安全专家的能力,这些能力才能够为企业发现高质量的安全问题。同时除了漏洞盒子平台我们还有另外一款产品“网藤风险感知系统”,是我们公司自研的高技术壁垒的产品。

 

Q:在做SaaS平台,我们是如何组建技术团队的呢?平台现在聚集了多少白帽子?

A:技术部这边主要分研发,安全服务,安全研究和售前,来支撑我们的平台和产品。有资深的售前顾问来为客户提供专业的安全解决方案,项目实施过程中由安服把控质量。安服部门也负责邀请外部和内部的安全专家参与到具体的测试项目中。目前平台上汇集了3W+来自全球的白帽子

 


Q:我们做过那么多的安全测试,有没有那种隐藏特别深不好找到,却非常严重的漏洞呢?

A:难找的问题集中在两方面

1)WEB服务API接口,这部分非常规的页面化逻辑,首先不容易发现API接口的存在,其次有些非公开的API接口他的请求响应不是一目了然的,需要经过大量模糊测试。针对API接口的测试也很难自动化,基本要人工,往往还需要对API文档有足够了解,编写脚本去辅助测试。

2)逻辑漏洞,比如一些越权订单遍历或者任意密码重置等等逻辑漏洞,基本不太可能自动化检测,这种跟业务场景联系紧密的问题需要测试人员首先熟悉对方的业务场景,操作流程,才能深入测试。

 

Q:创业过程中,有哪些感触?

A:具体某件印象深刻的事儿倒没想到,感触有不少,从打工的心态到自己创业,逼着自己从更全局的角度去看业务和产品,先有目的再有需求最后才有业务和产品,需求务必来自于用户而不是拍脑袋。以前觉得按部就班做事压力大,现在作为管理角色需要源源不断的生产有意义的事情并合理的分配下去,压力更大。



上一篇 下一篇


评论



分享

最新加入

最新评论

admin: 编程语言和web服务器如nginx,都可自定义状态码。阿里产品的问题请咨询阿里云的客服,提个工单就可以。 查看原文 12月13日 20:26
a_a_a: 自定义状态码怎么实现? 比如 阿里高防拦截 返回码 560 等等,在线等 急 查看原文 12月13日 16:56
admin: 查看原文 12月11日 22:08