NO.2 第一個月 我感覺我即將成為一名腳本小子

在入職前一天還有人問我信息安全工程師是做什麼的，其實我也不清楚在公司內部到底會從事什麼的樣的工作。所以我只能把我當時對於安全工程師在公司內部作用的理解說了出來：「假如把程序員比作是蓋樓的工人和工程師，那麼安全人員就應該是對應的建築工程中的安全人員了吧。」這麼一想的話其實工程中的安全人員的作用還真都是差不多的呢。在大樓修築過程中和完工後檢查大樓是否有安全隱患，而信息安全工程師是在產品開發過程中和結束後進行安全檢查，是否會出現安全問題也就是漏洞，然後幫助開發人員修復漏洞。這大概就是我當時所理解的所要做的事情吧。

當然在一個月以後我明白了我當時所描述的其實是安全測試，只是整個安全工作中的一小部分而已。而恰巧我所接觸到的第一個安全工具就是 AppScan。AppScan業內的人應對它都很熟悉吧，但是對於我這個在學校內沒怎麼接觸過工程的人來說是第一次見。

AppScan是一款自動化的WEB應用漏洞掃描工具，自動化到你只需要提供網站的入口URL和可能會用到的用戶名密碼，AppScan就可以全自動的掃描整個網站。我的第一個學習任務就是掌握AppScan的使用方法，然後用它去掃描一個公司的內部網站。

AppScan會列出掃描出的漏洞有多少，是什麼和嚴重性分級，點擊每個漏洞會顯示具體存在在哪個URL，漏洞的原理是什麼和通常情況下這種漏洞應該如何修復。甚至可以一鍵生成可以看得上眼的漏洞掃描報告。AppScan據我理解的原理應該是先用自動化爬蟲爬取網站內所有可能會存在漏洞的點，比如SQL注入之類的。然後通過自動化測試來得知是否真的存在漏洞。太複雜的漏洞其實我現在還不能理解其原理，最簡單的。某個登錄界面沒有做防暴力破解。被掃描了出來，在測試方法里寫到AppScan嘗試進行了10次登錄沒有觸發防暴力破解機制，所以得出存在這個漏洞。然後我手動測試了一下確實輸入N次錯誤密碼也不會有任何保護機制。然後根據掃描報告的內容重新寫一份漏洞報告，我的第一個工作就完成了。

但是，「掌握AppScan」，確實我目前對AppScan的使用已經可以完成交給我的工作。但是我這樣能算得上是掌握嗎？只是會點幾個按鈕罷了。何況軟體內幾十上百的按鈕，我知道有什麼作用的也就那麼幾個。可以大幅提高掃描效率和準確性的glass box也不會用。掃描出來的很多高危漏洞我看著說明也搞不明白它的原理是什麼，以及重點，如何修復它。安全工具多如牛毛，好用的也著實不少，下一個任務是學習反編譯工具的使用。但是這樣下去，我豈不是要變成一名，腳本小子？感覺距離我想像中的真正的信息安全工程師真的是，路漫漫啊。

第一篇文章就先這樣吧，目前也接觸到了安全知識的冰山一角而已。話說今天聽經理說我剛來的時候他們上個階段的工作已經收尾了，所以沒怎麼需要我參與。馬上下周該開啟新的階段的工作了，並且打算讓我參與其中了。真是可喜可賀，可口可樂。下一篇寫我學習使用的反編譯工具以及遇到的事情吧。

最後 恭喜WINGS獲得DOTA 2 The International 6 冠軍！宇宙隊！WINGS強無敵！果斷剁手買了一件WINGS官博的T-shirt!等待發貨！

Engineering For The Win.