Aggregator

你既要知道组成“问题”结构的事前，你又要知道组成“问题”结构的事中，你还要知道解决“问题”的事后。最后在回归到“问题”的本身。

——Micropoor

本文主论的“事前”就是“企业信息安全建设”的概念。认识“事前”的目的不是认识事情本身，而是实践于企业信息安全建设的整体。针对企业信息安全建设的整体，要回归实践企业信息安全建设本身。

企业信息安全是木桶原理，木桶原理又称：木桶效应。其意义为：盛水的木桶是由许多块木板箍成的，盛水量也是由这些木板共同决定的。若其中一块木板很短，则此木桶的盛水量就被短板所限制。但这正是“建设”的本身。对于“企业信息安全建设”的“木桶原理”仅仅阐述了最后一个词语“建设”，而本文主论的第一个词语“企业”即“事前”。该系列文章，将分为：事前、事中、事后、再次回归实践，共计4篇，为大家分别阐释。

针对“事前”的企业信息安全建设，主要从“4个维度”和“3个方向”进行规划与考虑。

针对“事前”企业信息安全建设，做好规划的4个维度，包括：事实、观点、立场、信仰。

事实：是客观存在，也是最不容易发生争执的，信息安全必须合规就是事实。

观点：是基于个体对“事物”的看法，所有人（个体）都觉得自身代表的是“事实”，多数出现在“专业型”人员。例如：“这个版本很旧，你需要马上升级，否则后果很严重——信息安全型专业人员”、“这个系统不能升级，已经平稳运行很多年——运维型专业人员”、“这带代码没有问题，因为这样不影响运行效率——开发型专业人员”等。

立场：不分对错，只有输赢。

信仰：有自我“完整”的闭合逻辑，也就是说，“当事人认为的，是一定正确的”。

考虑他人立场的时候，一定先考虑他的“信仰”。如果他坚定的认为他对待“信息安全”的看法（重要或不重要、重视或不重视）以及逻辑是“坚不可摧”的，那么就不要擅自“强推”，不要“改变”他人的信仰，很难有较为理想的结果。如果没有这个层面，那么需要站在他的角度考虑“立场”，也就是按照这个角度，定制3个方向的沟通、规划、协调、反馈方案。

针对“事前”企业信息安全建设，应该思考的3个方向包括：上级、平级、下级。

宏观总结：对内不折腾，对外有谋略。

微观总结：对上沟通，应该永远积极主动。平级沟通，永远追求双赢。对下沟通，永远坚持跟进。

上级：对“领导”在阐述网络安全的建设的规划中、建设的进展中、落地的过程中，要保持职业性和专业性，了解上级的真实需求，做事要超出上级的预期，并要衷心感谢上级的指点和教导。

平级：对“平级”之间的沟通，重在合作共赢，尤其是网络安全专业本身。如何既能解决问题，又能在解决问题的过程中，减少双方不必要的“工作”，减少“一刀切”的方式、减少“强推”的场景，有类有序的推进。在对方需要帮助时，主动支援；在对方取得成绩时，真心感到高兴。

下级：对“下级”沟通，要严格有温度。对事，需要公事公办。

对团队，你需要有负责的态度。总结一句：对上以敬，对下以慈，对人以和，对事以真。

“事前”企业信息安全建设对于“事中”企业安全建设的过程，至关重要。决策前要多调研、深入调研、充分调研。深刻理解4个维度和3个方向。“事前”建设与“事中”建设的关系，即：从企业信息安全建设走出来，在回到企业信息安全建设过程中去。实践是检验认识的唯一标准，将在实践中获得的认识再放进实践中去检验，在用这个认识来指导实践。笔者相信，如此以后，那么在企业信息安全建设的过程，也一定会是一个享受工作的过程。

历史是不断前进的，时代是不断发展的，企业信息安全建设是不断变化的，我们要不断地实践，认识，再实践，再认识，循环往复。这也验证梭伦所说“活到老学到老。”在文章的结尾处更想引用《庄子·内篇·养生主第三》来做本文的结尾：“吾生也有涯，而知也无涯。” 

 品牌的基石是产品质量的品质，产品质量的品质是百年品牌的保障。

——Micropoor

1. 能扫描出真实漏洞（可包含大量误报，甚至误报率高于真实漏洞）

2. 同一时间内，扫描2次且扫描同一个主机或Web，2次扫描漏洞结果数量一致（可包含大量误报，甚至误报率高于真实漏洞）

3. 同一时间内，扫描2次且扫描同一个主机或Web，2次扫描漏洞结果漏洞类型一致。（可包含大量误报）

4. 同一时间内，扫描1次同一主机或Web后且修复结果漏洞，第2次扫描该主机或Web漏洞结果数量比第1次漏洞结果数量少对应修复的数量。（可包含大量误报，甚至误报率高于真实漏洞）

5. 还在维护且可持续更新规则（更新时间可日、周、月、年其中之一即可，也就是说一年更新一次都可以）

 销售的本质是敲门砖，服务才是持续“销售”

——Micropoor

        技术红利的时代已来临，通过大规模的技术创新，在产业结构上实现从劳动密集转向资本技术密集，在不缺乏资本的既定前提下，通过技术创新达致技术密集，从而为经济发展创造出有力的技术条件，促成整个国家提升整体产业结构从而实现产业升级。可以通过调研与观察分析，近几年的“创业型”企业的成功案例大部分是技术型人才的创业，也伴随间接影响了“下游”人员的“方向”比重，销售的“资源红利”一去不复返。反而增加了“下游”的技术红利。也就是说，企业与企业之间的核心竞争的是“产品”、“服务”、“咨询”等。也就是“人才”战略。随着技术红利的来临，时代的浪潮把“技术”型人才推向了“前端”的舞台，既交叉伴随着与“人”打交道同时，也要与“物”打交道。

（6）68%顾客不满供应商提供的产品与服务

也就是说82%的结果是由于顾客对产品与服务的质量不满造成的。这一结果提出警示：只有向顾客提供比竞争对手更高质量的产品与服务才能赢得和保住客户。随着“数字化”时代的到来，“大数据”应用场景的广泛落地，该比重将会持续继续扩大，从而缩小销售的“资源”红利。

历史告诉我们：“没有谁的时代，只有时代的谁”，同样，“时代需要人才，时代造就人才”，在网络安全行业尤为如此，既然时代已经把“技术”型人才推向前端与其后端相结合。加大了参与销售之间的紧密配合，而销售也应该把“内部”技术同事当成“客户”的分支，才能顺应当下的“高质量”竞争。

愿每一位销售人员，尤其是销售管理者扩大视野，有“内部”、“外部”客户的思维。

jsp中可以使用el表达式
所以我们可以使用和el表达式注入一样的方法构造webshell

可以避免出现 <%符号

前不久p牛分享了一个利用环境变量注入劫持bash的技巧.
当时我就在想这种环境变量的注入有没有什么比较通用的场景。一般遇到的环境变量注入基本上都是直接使用ld_preload解决问题。p牛的这种新的环境变量注入的利用技巧，有没有什么特殊的利用面呢。

author:白帽酱
题目给了后端源码 一道题利用了前不久出现的一个鸡肋洞 openssl c_rehash(CVE-2022-1292) 题目还是比较有意思的