网络安全行业问答、工资福利与经验 · 智问盟
网络安全行业的公开问答、工资福利、职业发展和经验分享。
网络安全行业的公开问答、工资福利、职业发展和经验分享。
tech-security
One review I worked on found a long list of outdated packages across several services. The first ticket basically said update everything, which sounded responsible but gave the engineering team no way to plan the work. …
tech-security
MFA rollout looks like a security project, but most of the pain is people and operations. Turning it on for a small engineering team is one thing. Turning it on for sales, warehouse tablets, shared front desk machines, …
tech-security
接口越权最容易被漏掉的地方,不是登录校验,而是对象级权限。用户有token,不代表他能看所有订单、所有文件、所有客户记录。我以前排查过一个问题,接口只校验了 user_id 是否存在,却没有校验这条记录是不是属于当前租户,换一个id就能看到别人的数据。修这种问题不能只在前端隐藏按钮,后端每个读写入口都要重新确认 owner、tenant、role 和资源状态。我的做法是先列出所有带 id 的接口,再用普通用户、跨部门用户、离职账号、只…
tech-security
做 SaaS 权限审计时,只看谁是管理员不够。很多风险不是超级管理员,而是那些多年没人管的项目 owner、共享账号、外包邮箱、还有已经离职但还挂在群组里的账号。 我做过一次整理,第一轮先把每个系统的用户列表、角色、最近登录时间拉出来,再跟 HR 离职名单和部门名单对一遍。真正麻烦的是权限继承,很多人表面只是普通成员,但通过某个 group 拿到了导出数据或创建 token 的权限。 后面我会要求每个业务 owner 认领自己系统的权…
tech-security
我做过一次内部权限收紧,刚开始想得太简单,以为把高权限账号砍掉、强制 MFA、审计日志打开就行。结果第一周就被业务追着打,因为有些服务账号被人当成自动化脚本入口用了很多年,没人登记。 后面我改了做法。先拉登录日志和 API 调用日志,看哪些账号真的在用,哪些是长期不用但权限很高。对服务账号单独梳理 owner、用途、来源 IP、token 轮换周期。能改最小权限就改最小权限,不能马上改的先放到观察名单,不要一刀切把生产任务干停。 安全…
tech-security
A login alert looked like normal VPN noise at first. Same user, same country, nothing dramatic. The odd part was the device fingerprint changing twice in ten minutes, then a failed MFA push from a browser we had never s…