《戰(zhàn)國策·秦策》：“臣聞爭名者于朝，爭利者于市。”

工作十余載，所學和所得都超乎想象的豐滿，也對人情世故的理解越來越深入明白，所謂有人的地方就有江湖，hi，兄弟，我們好久不見你在哪里，如果真的是你請打招呼…….。人與江湖在談笑之間，也在彈指一揮間。

林子大了什么鳥都有，鳥大了什么林子都有，公司到達一定程度之后總會滋生出一些小團體小幫派這很正常，人以群分物以類聚，高層有高層的戲，員工有員工的快樂，無論海面的浪如何翻滾我們在底下也不怎么受波及，我們通常安分的做著工作，然后找一些小樂子，每個工種都有自己的職業(yè)習慣，信息安全工程師的習慣就是看見任何系統(tǒng)或機器都想通過自己的小技能來點試它一試，正常網(wǎng)民在瀏覽網(wǎng)站的時候覺得一個站點不錯，會點擊“收藏夾”按鈕收藏起來方便以后閱讀，信息安全工程師要是覺得一個站點不錯，首先，會對站點進行一系列的攻擊測試，例如：SQL注入、XSS、猜后臺、爆口令，拿到后臺權(quán)限上傳個WEBSHELL，最后在QQ群里讓大家都來玩，或許你覺得我們難以理解、帶有一些惡俗的小討厭，請理解這是我們在用自己的職業(yè)習慣表達著我們對你網(wǎng)站的喜歡：）。

或許描述的有些小過份，其實并不是每個從業(yè)者都會這么做，但是大多數(shù)的信息安全工作人員至少都會對網(wǎng)站做一個簡單的評估，當然像發(fā)QQ群這種屬于少數(shù)，本文章引用也只是做為一種小調(diào)侃，望理解勿拍磚。

還有，這跟開頭的《戰(zhàn)國策•秦策》有什么關(guān)系？ 其實與本文也就存在個萬分之一的關(guān)系，我引用那句話更多的只是我要炫耀，我知道這本書：）

回歸正題，在企業(yè)中有很多明文或潛規(guī)則的規(guī)定，這些大家都好奇又不愿意觸碰談起的小紅線，深深的吸引著我和萬鵬。

通常在企業(yè)中員工工資都被視為機密，這太讓人心癢癢了，我內(nèi)心里總有一種沖動想要知道同事們到底賺多少錢，雖然更多的時候知道真相會不爽，但還是忍不住，那種感覺就像女人血拼后想要剁手的情緒一樣的，這種窺視的心情萬鵬跟我一樣有癮，公司的工資系統(tǒng)自然就成了我們的目標。

互聯(lián)網(wǎng)企業(yè)的內(nèi)部網(wǎng)絡(luò)區(qū)域劃分多還是比較規(guī)范的，優(yōu)秀樣例參考下圖：

小解：

圖中清晰的劃分了辦公網(wǎng)、開發(fā)環(huán)境、測試環(huán)境、生產(chǎn)環(huán)境，同時，為了規(guī)范運維人員工作流程減入生產(chǎn)環(huán)境的入口，采用堡壘機單點入口的方式，邏輯上這種劃分是沒有問題的。

問題在于，更細顆粒度的訪問控制策略（ACL）以及流程標準是否依照規(guī)劃中的那樣完整實施，能達到這點的少之又少。

公司內(nèi)部OA/ERP/MAIL等系統(tǒng)為了方便員工使用通過統(tǒng)一的用戶認證方式讓員工使用一個賬號就可以在這幾類系統(tǒng)中使用一樣的權(quán)限進行飄移，工資系統(tǒng)做為公司的重要信息資產(chǎn)加上企業(yè)內(nèi)部信息化建設(shè)，必然會在公共區(qū)域內(nèi)的，以方便員工通過自己的ERP賬號在人資的系統(tǒng)中查詢自己的工資、假期、考勤等。

既然鎖定了目標接下來就是我跟老萬一起燒黃紙算吉日了，于是乎立刻以及馬上我跟老萬就去吸煙室通過抽煙的方式代替了燒黃紙，至于吉日這種事情，別逗了，那有那么多吉日讓你選，又不是結(jié)婚，在抽煙的時候簡單的對了對計劃與分工，老萬負責系統(tǒng)層的漏洞檢測，主要針對：弱口令、系統(tǒng)層漏洞、系統(tǒng)開放服務(wù)等基礎(chǔ)信息進行收集，我負責WEB層漏洞檢測，主要范圍是：登陸接口弱口令暴力破解、傳輸層加密、用戶權(quán)限認證、常見SQL注入等常見WEB漏洞下手。

此類問題使用常見的漏洞掃描器即可完成，開啟掃描器之后我們基本也就是等待結(jié)果在判斷采用什么方法，這個過程中時間也不能白白浪費掉，接下來我們開始談?wù)搾呙杵鬟@外可能存在的漏洞。

考慮到我們之前也對內(nèi)網(wǎng)的ERP系統(tǒng)進行過漏洞檢測，加上長期的安全意識以及策略的推廣，弱口令、常見SQL注入、XSS之類的問題已經(jīng)修的差不多了，看來這次的小心思不會很容易的就達成，悔恨當初修的太徹底沒有給自己留后路，只能深深的責怪自己，入職的這么久時間里我們到底做了些啥。。。恨吶。

你倆干嘛呢這是，今天周一，本周的上線會已經(jīng)開始了15層亞太會議室，我去，真是腹瀉遇見馬拉松，惡夢??！每周五例行項目周會，安全團隊要跟項目部一起評選本周上線的項目，從中選出改動較大的項目進行快速的安全檢測，以保證上線的業(yè)務(wù)是安全的，項目會通常持續(xù)2至3小時，每周好幾百個項目上線，雖然安全人員參與項目選拔可以有利安全業(yè)務(wù)的推廣，但是長達數(shù)小時的會議對參會人員是個不小的體力考驗。

既然輪到了也不能不去，我跟老萬也只能不情愿的拿著電腦去開會，這個節(jié)骨眼上去開會，進會議室的也只是肉體，靈魂還是留在辦公位上一心想著滲透ERP系統(tǒng)呢。

此時的會議室已經(jīng)聚集了產(chǎn)品研發(fā)團隊和數(shù)名項目部的同事，項目經(jīng)理按照提交給項目部同事的上線列表一條一條的確認上線的項目呢，我跟老萬找個角落假裝在看項目，其實都是盯著掃描器的報告琢磨著能不能從中發(fā)現(xiàn)一絲絲的希望。

本周上線ERP系統(tǒng)用戶考勤小系統(tǒng)的接口功能，對接公司內(nèi)部統(tǒng)一認證接口，桌面組的產(chǎn)品經(jīng)理介紹著本周的上線變更，這時候老萬突然舉手，按照安全部規(guī)定，所有涉及到接口變動的項目都需要測試，我心里想，你那大腦是幾核的，這時候你還能分出神去關(guān)心項目的事情。真對得起你那個墨斗魚的網(wǎng)名。

突然靈光一閃，猶如晴天霹靂砍在我的腦殼上，“接口變更”，這幾個字提醒了我，之前做內(nèi)部滲透測試的時候把主要是圍繞獨立的系統(tǒng)進行測試，通過掃描器和手工的方式針對一個獨立的系統(tǒng)進行漏洞測試，我們還從來沒有測試過兩個系統(tǒng)之間跨域的權(quán)限驗證問題，因為這種涉及跨域的漏洞用工具測沒出來，只能手動抓包，驗證A系統(tǒng)中的權(quán)限到B系統(tǒng)時權(quán)限如何繼承。

內(nèi)部ERP系統(tǒng)下對接了好幾套獨立系統(tǒng)，看來有戲。

我拉著老萬快速的在項目上線表中選了幾個達到安全測試的項目就快速撤離會議室了，我把想法跟老萬一說，老萬給了我一拳說到，要不你是黑客呢思維真飄散，我快速回到，你才是黑客呢，你全小區(qū)都是黑客。

我倆回到工位上，用自己的ERP賬號登陸到系統(tǒng)，通過HTTP抓包看了一下權(quán)限標識，原來權(quán)限是使用sessionID進行標識的，而sessionID就是員工的ERP賬號，確定了標識位，我點擊了HR子系統(tǒng)，看看權(quán)限的驗證是不是我預想的那樣，通過HTTP包的內(nèi)容來看，猜的果然不錯，接下來就是關(guān)鍵一步了，替換上其它員工的SessionID，也就是傳說中的ERP賬號，替換后刷新頁面，系統(tǒng)沒有退出，接下來就簡單了，因為最心驚肉跳的過程要出現(xiàn)啦，嘿嘿。

在點開HR子系統(tǒng)的那一刻的同時，我模仿忍者結(jié)了一個手印，大喊一聲：中。隨著頁面的正常開啟，越權(quán)訪問成功?？梢钥吹狡渌鼏T工的考勤、假期、工資。

隨后，我跟老萬灰溜溜中帶著一大把沮喪關(guān)上電腦，或許你猜中了，我倆在一把的證據(jù)中明白了，我倆的工資有多么的微薄。。。

點評：

互聯(lián)網(wǎng)企業(yè)內(nèi)部信息化建設(shè)在給員工帶來方便的同時，也帶來了風險，雖然其影響不會達到泄漏用戶數(shù)據(jù)那么轟動，但至少泄漏后也會讓獵頭公司或員工之間掌握公司人員機密數(shù)據(jù)提供了一個缺口。

同時跨系統(tǒng)之間的權(quán)限驗證也不止與內(nèi)部之間，在對外的業(yè)務(wù)系統(tǒng)之中了同樣存在，其危害會直接導致核心業(yè)務(wù)數(shù)據(jù)的泄漏或公司線上業(yè)務(wù)被惡意調(diào)用造成經(jīng)濟損失。

1. 跨系統(tǒng)之間的身份認證一定要通過自有加密機制保證不可逆；

2. 身份認證一定要判斷IP地址的變化，同時，設(shè)置失效時間；