luzhongyang@huoxian.cn火线安全 联合创始人 卢中阳 01黑客视角的安全风险来源 02基于攻防社区的安全风险管理 03基于开源社区IAST的代码漏洞检测风险 来自于哪里 Where does the risk come from SQL 注入越权 RCE越权 企业互联网攻击面Restful、GraphQL、RPC、Tomcat、Android、 IOS、IOT、 Spring Boot、 Dubbo… MySQL、Oracle、Redis、 Kafka、 ActiveMQ、 Zabbix、Jenkins、F5 Linux、Windows、 vSphere、 ESXi、k8s、HarborFeiQ、QQ、微信、钉钉、飞书、 Exchange、Coremail、腾讯企业邮、 Gmail、致远OA、CISCO SSL VPNGithub、Gitlab、 Coding、阿里云效、 码云、百度网盘、 百度文库、数据论 坛、语雀、 confluence、暗网 论坛 •API接口 •中间件 •客户端软件 •开源组件 •微服务 •Serverless•数据库 •消息中间件 •可视化运维 •RDS •SLB•操作系统 •虚拟机 •Kubernetes •镜像仓库 •AWS、aliyun、 腾讯云•业务代码 •业务数据 •密码凭证 •内部资料•IM系统 •邮件系统 •OA系统 •VPN系统•采购系统 •客服系统 •招聘系统 •销售系统 数据管理 基础环境 办公系统 业务应用 运维服务 供应链 传统资产多云化 传统IDS+办公网 +公有云+私有云 资产边界宽泛化 IP、域名、接口、 容器、组件、账号、 秘钥、云服务、业 务云服务 资产管理方式复杂化 CMDB、流量分析、 主机监控、黑盒监 控 资产管理难度越来越大社区漏洞分布业务逻辑 接口安全 运维服务 基础环境 安全意识漏洞监控 CVE、CNNVD、CNVD Github、exploitdb、安全社区 账号逻辑 支付逻辑 权限体系 数据重放 消耗攻击 弱密码问题SQL注入 SSRF 反序列化 XSS漏洞 文件上传 组件漏洞 任意命令执行服务未授权 服务弱密码 服务配置不当 服务软件漏洞弱密码 配置不当 环境未隔离 密钥泄漏 容器权限提升 OSS配置错误 代码泄漏 文档泄漏 凭证泄漏 云化过程带来 监控难度大 更多新型漏洞攻击 漏洞频发