《戰(zhàn)國(guó)策·秦策》：“臣聞爭(zhēng)名者于朝，爭(zhēng)利者于市。”

工作十余載，所學(xué)和所得都超乎想象的豐滿，也對(duì)人情世故的理解越來(lái)越深入明白，所謂有人的地方就有江湖，hi，兄弟，我們好久不見(jiàn)你在哪里，如果真的是你請(qǐng)打招呼…….。人與江湖在談笑之間，也在彈指一揮間。

林子大了什么鳥(niǎo)都有，鳥(niǎo)大了什么林子都有，公司到達(dá)一定程度之后總會(huì)滋生出一些小團(tuán)體小幫派這很正常，人以群分物以類聚，高層有高層的戲，員工有員工的快樂(lè)，無(wú)論海面的浪如何翻滾我們?cè)诘紫乱膊辉趺词懿?，我們通常安分的做著工作，然后找一些小?lè)子，每個(gè)工種都有自己的職業(yè)習(xí)慣，信息安全工程師的習(xí)慣就是看見(jiàn)任何系統(tǒng)或機(jī)器都想通過(guò)自己的小技能來(lái)點(diǎn)試它一試，正常網(wǎng)民在瀏覽網(wǎng)站的時(shí)候覺(jué)得一個(gè)站點(diǎn)不錯(cuò)，會(huì)點(diǎn)擊“收藏夾”按鈕收藏起來(lái)方便以后閱讀，信息安全工程師要是覺(jué)得一個(gè)站點(diǎn)不錯(cuò)，首先，會(huì)對(duì)站點(diǎn)進(jìn)行一系列的攻擊測(cè)試，例如：SQL注入、XSS、猜后臺(tái)、爆口令，拿到后臺(tái)權(quán)限上傳個(gè)WEBSHELL，最后在QQ群里讓大家都來(lái)玩，或許你覺(jué)得我們難以理解、帶有一些惡俗的小討厭，請(qǐng)理解這是我們?cè)谟米约旱穆殬I(yè)習(xí)慣表達(dá)著我們對(duì)你網(wǎng)站的喜歡：）。

或許描述的有些小過(guò)份，其實(shí)并不是每個(gè)從業(yè)者都會(huì)這么做，但是大多數(shù)的信息安全工作人員至少都會(huì)對(duì)網(wǎng)站做一個(gè)簡(jiǎn)單的評(píng)估，當(dāng)然像發(fā)QQ群這種屬于少數(shù)，本文章引用也只是做為一種小調(diào)侃，望理解勿拍磚。

還有，這跟開(kāi)頭的《戰(zhàn)國(guó)策•秦策》有什么關(guān)系？ 其實(shí)與本文也就存在個(gè)萬(wàn)分之一的關(guān)系，我引用那句話更多的只是我要炫耀，我知道這本書：）

回歸正題，在企業(yè)中有很多明文或潛規(guī)則的規(guī)定，這些大家都好奇又不愿意觸碰談起的小紅線，深深的吸引著我和萬(wàn)鵬。

通常在企業(yè)中員工工資都被視為機(jī)密，這太讓人心癢癢了，我內(nèi)心里總有一種沖動(dòng)想要知道同事們到底賺多少錢，雖然更多的時(shí)候知道真相會(huì)不爽，但還是忍不住，那種感覺(jué)就像女人血拼后想要剁手的情緒一樣的，這種窺視的心情萬(wàn)鵬跟我一樣有癮，公司的工資系統(tǒng)自然就成了我們的目標(biāo)。

互聯(lián)網(wǎng)企業(yè)的內(nèi)部網(wǎng)絡(luò)區(qū)域劃分多還是比較規(guī)范的，優(yōu)秀樣例參考下圖：

小解：

圖中清晰的劃分了辦公網(wǎng)、開(kāi)發(fā)環(huán)境、測(cè)試環(huán)境、生產(chǎn)環(huán)境，同時(shí)，為了規(guī)范運(yùn)維人員工作流程減入生產(chǎn)環(huán)境的入口，采用堡壘機(jī)單點(diǎn)入口的方式，邏輯上這種劃分是沒(méi)有問(wèn)題的。

問(wèn)題在于，更細(xì)顆粒度的訪問(wèn)控制策略（ACL）以及流程標(biāo)準(zhǔn)是否依照規(guī)劃中的那樣完整實(shí)施，能達(dá)到這點(diǎn)的少之又少。

公司內(nèi)部OA/ERP/MAIL等系統(tǒng)為了方便員工使用通過(guò)統(tǒng)一的用戶認(rèn)證方式讓員工使用一個(gè)賬號(hào)就可以在這幾類系統(tǒng)中使用一樣的權(quán)限進(jìn)行飄移，工資系統(tǒng)做為公司的重要信息資產(chǎn)加上企業(yè)內(nèi)部信息化建設(shè)，必然會(huì)在公共區(qū)域內(nèi)的，以方便員工通過(guò)自己的ERP賬號(hào)在人資的系統(tǒng)中查詢自己的工資、假期、考勤等。

既然鎖定了目標(biāo)接下來(lái)就是我跟老萬(wàn)一起燒黃紙算吉日了，于是乎立刻以及馬上我跟老萬(wàn)就去吸煙室通過(guò)抽煙的方式代替了燒黃紙，至于吉日這種事情，別逗了，那有那么多吉日讓你選，又不是結(jié)婚，在抽煙的時(shí)候簡(jiǎn)單的對(duì)了對(duì)計(jì)劃與分工，老萬(wàn)負(fù)責(zé)系統(tǒng)層的漏洞檢測(cè)，主要針對(duì)：弱口令、系統(tǒng)層漏洞、系統(tǒng)開(kāi)放服務(wù)等基礎(chǔ)信息進(jìn)行收集，我負(fù)責(zé)WEB層漏洞檢測(cè)，主要范圍是：登陸接口弱口令暴力破解、傳輸層加密、用戶權(quán)限認(rèn)證、常見(jiàn)SQL注入等常見(jiàn)WEB漏洞下手。

此類問(wèn)題使用常見(jiàn)的漏洞掃描器即可完成，開(kāi)啟掃描器之后我們基本也就是等待結(jié)果在判斷采用什么方法，這個(gè)過(guò)程中時(shí)間也不能白白浪費(fèi)掉，接下來(lái)我們開(kāi)始談?wù)搾呙杵鬟@外可能存在的漏洞。

考慮到我們之前也對(duì)內(nèi)網(wǎng)的ERP系統(tǒng)進(jìn)行過(guò)漏洞檢測(cè)，加上長(zhǎng)期的安全意識(shí)以及策略的推廣，弱口令、常見(jiàn)SQL注入、XSS之類的問(wèn)題已經(jīng)修的差不多了，看來(lái)這次的小心思不會(huì)很容易的就達(dá)成，悔恨當(dāng)初修的太徹底沒(méi)有給自己留后路，只能深深的責(zé)怪自己，入職的這么久時(shí)間里我們到底做了些啥。。。恨吶。

你倆干嘛呢這是，今天周一，本周的上線會(huì)已經(jīng)開(kāi)始了15層亞太會(huì)議室，我去，真是腹瀉遇見(jiàn)馬拉松，惡夢(mèng)?。∶恐芪謇许?xiàng)目周會(huì)，安全團(tuán)隊(duì)要跟項(xiàng)目部一起評(píng)選本周上線的項(xiàng)目，從中選出改動(dòng)較大的項(xiàng)目進(jìn)行快速的安全檢測(cè)，以保證上線的業(yè)務(wù)是安全的，項(xiàng)目會(huì)通常持續(xù)2至3小時(shí)，每周好幾百個(gè)項(xiàng)目上線，雖然安全人員參與項(xiàng)目選拔可以有利安全業(yè)務(wù)的推廣，但是長(zhǎng)達(dá)數(shù)小時(shí)的會(huì)議對(duì)參會(huì)人員是個(gè)不小的體力考驗(yàn)。

既然輪到了也不能不去，我跟老萬(wàn)也只能不情愿的拿著電腦去開(kāi)會(huì)，這個(gè)節(jié)骨眼上去開(kāi)會(huì)，進(jìn)會(huì)議室的也只是肉體，靈魂還是留在辦公位上一心想著滲透ERP系統(tǒng)呢。

此時(shí)的會(huì)議室已經(jīng)聚集了產(chǎn)品研發(fā)團(tuán)隊(duì)和數(shù)名項(xiàng)目部的同事，項(xiàng)目經(jīng)理按照提交給項(xiàng)目部同事的上線列表一條一條的確認(rèn)上線的項(xiàng)目呢，我跟老萬(wàn)找個(gè)角落假裝在看項(xiàng)目，其實(shí)都是盯著掃描器的報(bào)告琢磨著能不能從中發(fā)現(xiàn)一絲絲的希望。

本周上線ERP系統(tǒng)用戶考勤小系統(tǒng)的接口功能，對(duì)接公司內(nèi)部統(tǒng)一認(rèn)證接口，桌面組的產(chǎn)品經(jīng)理介紹著本周的上線變更，這時(shí)候老萬(wàn)突然舉手，按照安全部規(guī)定，所有涉及到接口變動(dòng)的項(xiàng)目都需要測(cè)試，我心里想，你那大腦是幾核的，這時(shí)候你還能分出神去關(guān)心項(xiàng)目的事情。真對(duì)得起你那個(gè)墨斗魚的網(wǎng)名。

突然靈光一閃，猶如晴天霹靂砍在我的腦殼上，“接口變更”，這幾個(gè)字提醒了我，之前做內(nèi)部滲透測(cè)試的時(shí)候把主要是圍繞獨(dú)立的系統(tǒng)進(jìn)行測(cè)試，通過(guò)掃描器和手工的方式針對(duì)一個(gè)獨(dú)立的系統(tǒng)進(jìn)行漏洞測(cè)試，我們還從來(lái)沒(méi)有測(cè)試過(guò)兩個(gè)系統(tǒng)之間跨域的權(quán)限驗(yàn)證問(wèn)題，因?yàn)檫@種涉及跨域的漏洞用工具測(cè)沒(méi)出來(lái)，只能手動(dòng)抓包，驗(yàn)證A系統(tǒng)中的權(quán)限到B系統(tǒng)時(shí)權(quán)限如何繼承。

內(nèi)部ERP系統(tǒng)下對(duì)接了好幾套獨(dú)立系統(tǒng)，看來(lái)有戲。

我拉著老萬(wàn)快速的在項(xiàng)目上線表中選了幾個(gè)達(dá)到安全測(cè)試的項(xiàng)目就快速撤離會(huì)議室了，我把想法跟老萬(wàn)一說(shuō)，老萬(wàn)給了我一拳說(shuō)到，要不你是黑客呢思維真飄散，我快速回到，你才是黑客呢，你全小區(qū)都是黑客。

我倆回到工位上，用自己的ERP賬號(hào)登陸到系統(tǒng)，通過(guò)HTTP抓包看了一下權(quán)限標(biāo)識(shí)，原來(lái)權(quán)限是使用sessionID進(jìn)行標(biāo)識(shí)的，而sessionID就是員工的ERP賬號(hào)，確定了標(biāo)識(shí)位，我點(diǎn)擊了HR子系統(tǒng)，看看權(quán)限的驗(yàn)證是不是我預(yù)想的那樣，通過(guò)HTTP包的內(nèi)容來(lái)看，猜的果然不錯(cuò)，接下來(lái)就是關(guān)鍵一步了，替換上其它員工的SessionID，也就是傳說(shuō)中的ERP賬號(hào)，替換后刷新頁(yè)面，系統(tǒng)沒(méi)有退出，接下來(lái)就簡(jiǎn)單了，因?yàn)樽钚捏@肉跳的過(guò)程要出現(xiàn)啦，嘿嘿。

在點(diǎn)開(kāi)HR子系統(tǒng)的那一刻的同時(shí)，我模仿忍者結(jié)了一個(gè)手印，大喊一聲：中。隨著頁(yè)面的正常開(kāi)啟，越權(quán)訪問(wèn)成功。可以看到其它員工的考勤、假期、工資。

隨后，我跟老萬(wàn)灰溜溜中帶著一大把沮喪關(guān)上電腦，或許你猜中了，我倆在一把的證據(jù)中明白了，我倆的工資有多么的微薄。。。

點(diǎn)評(píng)：

互聯(lián)網(wǎng)企業(yè)內(nèi)部信息化建設(shè)在給員工帶來(lái)方便的同時(shí)，也帶來(lái)了風(fēng)險(xiǎn)，雖然其影響不會(huì)達(dá)到泄漏用戶數(shù)據(jù)那么轟動(dòng)，但至少泄漏后也會(huì)讓獵頭公司或員工之間掌握公司人員機(jī)密數(shù)據(jù)提供了一個(gè)缺口。

同時(shí)跨系統(tǒng)之間的權(quán)限驗(yàn)證也不止與內(nèi)部之間，在對(duì)外的業(yè)務(wù)系統(tǒng)之中了同樣存在，其危害會(huì)直接導(dǎo)致核心業(yè)務(wù)數(shù)據(jù)的泄漏或公司線上業(yè)務(wù)被惡意調(diào)用造成經(jīng)濟(jì)損失。

1. 跨系統(tǒng)之間的身份認(rèn)證一定要通過(guò)自有加密機(jī)制保證不可逆；

2. 身份認(rèn)證一定要判斷IP地址的變化，同時(shí)，設(shè)置失效時(shí)間；