《戰國策·秦策》：“臣聞爭名者于朝，爭利者于市。”

工作十余載，所學和所得都超乎想象的豐滿，也對人情世故的理解越來越深入明白，所謂有人的地方就有江湖，hi，兄弟，我們好久不見你在哪里，如果真的是你請打招呼…….。人與江湖在談笑之間，也在彈指一揮間。

林子大了什么鳥都有，鳥大了什么林子都有，公司到達一定程度之后總會滋生出一些小團體小幫派這很正常，人以群分物以類聚，高層有高層的戲，員工有員工的快樂，無論海面的浪如何翻滾我們在底下也不怎么受波及，我們通常安分的做著工作，然后找一些小樂子，每個工種都有自己的職業習慣，信息安全工程師的習慣就是看見任何系統或機器都想通過自己的小技能來點試它一試，正常網民在瀏覽網站的時候覺得一個站點不錯，會點擊“收藏夾”按鈕收藏起來方便以后閱讀，信息安全工程師要是覺得一個站點不錯，首先，會對站點進行一系列的攻擊測試，例如：SQL注入、XSS、猜后臺、爆口令，拿到后臺權限上傳個WEBSHELL，最后在QQ群里讓大家都來玩，或許你覺得我們難以理解、帶有一些惡俗的小討厭，請理解這是我們在用自己的職業習慣表達著我們對你網站的喜歡：）。

或許描述的有些小過份，其實并不是每個從業者都會這么做，但是大多數的信息安全工作人員至少都會對網站做一個簡單的評估，當然像發QQ群這種屬于少數，本文章引用也只是做為一種小調侃，望理解勿拍磚。

還有，這跟開頭的《戰國策•秦策》有什么關系？ 其實與本文也就存在個萬分之一的關系，我引用那句話更多的只是我要炫耀，我知道這本書：）

回歸正題，在企業中有很多明文或潛規則的規定，這些大家都好奇又不愿意觸碰談起的小紅線，深深的吸引著我和萬鵬。

通常在企業中員工工資都被視為機密，這太讓人心癢癢了，我內心里總有一種沖動想要知道同事們到底賺多少錢，雖然更多的時候知道真相會不爽，但還是忍不住，那種感覺就像女人血拼后想要剁手的情緒一樣的，這種窺視的心情萬鵬跟我一樣有癮，公司的工資系統自然就成了我們的目標。

互聯網企業的內部網絡區域劃分多還是比較規范的，優秀樣例參考下圖：

小解：

圖中清晰的劃分了辦公網、開發環境、測試環境、生產環境，同時，為了規范運維人員工作流程減入生產環境的入口，采用堡壘機單點入口的方式，邏輯上這種劃分是沒有問題的。

問題在于，更細顆粒度的訪問控制策略（ACL）以及流程標準是否依照規劃中的那樣完整實施，能達到這點的少之又少。

公司內部OA/ERP/MAIL等系統為了方便員工使用通過統一的用戶認證方式讓員工使用一個賬號就可以在這幾類系統中使用一樣的權限進行飄移，工資系統做為公司的重要信息資產加上企業內部信息化建設，必然會在公共區域內的，以方便員工通過自己的ERP賬號在人資的系統中查詢自己的工資、假期、考勤等。

既然鎖定了目標接下來就是我跟老萬一起燒黃紙算吉日了，于是乎立刻以及馬上我跟老萬就去吸煙室通過抽煙的方式代替了燒黃紙，至于吉日這種事情，別逗了，那有那么多吉日讓你選，又不是結婚，在抽煙的時候簡單的對了對計劃與分工，老萬負責系統層的漏洞檢測，主要針對：弱口令、系統層漏洞、系統開放服務等基礎信息進行收集，我負責WEB層漏洞檢測，主要范圍是：登陸接口弱口令暴力破解、傳輸層加密、用戶權限認證、常見SQL注入等常見WEB漏洞下手。

此類問題使用常見的漏洞掃描器即可完成，開啟掃描器之后我們基本也就是等待結果在判斷采用什么方法，這個過程中時間也不能白白浪費掉，接下來我們開始談論掃描器這外可能存在的漏洞。

考慮到我們之前也對內網的ERP系統進行過漏洞檢測，加上長期的安全意識以及策略的推廣，弱口令、常見SQL注入、XSS之類的問題已經修的差不多了，看來這次的小心思不會很容易的就達成，悔恨當初修的太徹底沒有給自己留后路，只能深深的責怪自己，入職的這么久時間里我們到底做了些啥。。。恨吶。

你倆干嘛呢這是，今天周一，本周的上線會已經開始了15層亞太會議室，我去，真是腹瀉遇見馬拉松，惡夢啊！每周五例行項目周會，安全團隊要跟項目部一起評選本周上線的項目，從中選出改動較大的項目進行快速的安全檢測，以保證上線的業務是安全的，項目會通常持續2至3小時，每周好幾百個項目上線，雖然安全人員參與項目選拔可以有利安全業務的推廣，但是長達數小時的會議對參會人員是個不小的體力考驗。

既然輪到了也不能不去，我跟老萬也只能不情愿的拿著電腦去開會，這個節骨眼上去開會，進會議室的也只是肉體，靈魂還是留在辦公位上一心想著滲透ERP系統呢。

此時的會議室已經聚集了產品研發團隊和數名項目部的同事，項目經理按照提交給項目部同事的上線列表一條一條的確認上線的項目呢，我跟老萬找個角落假裝在看項目，其實都是盯著掃描器的報告琢磨著能不能從中發現一絲絲的希望。

本周上線ERP系統用戶考勤小系統的接口功能，對接公司內部統一認證接口，桌面組的產品經理介紹著本周的上線變更，這時候老萬突然舉手，按照安全部規定，所有涉及到接口變動的項目都需要測試，我心里想，你那大腦是幾核的，這時候你還能分出神去關心項目的事情。真對得起你那個墨斗魚的網名。

突然靈光一閃，猶如晴天霹靂砍在我的腦殼上，“接口變更”，這幾個字提醒了我，之前做內部滲透測試的時候把主要是圍繞獨立的系統進行測試，通過掃描器和手工的方式針對一個獨立的系統進行漏洞測試，我們還從來沒有測試過兩個系統之間跨域的權限驗證問題，因為這種涉及跨域的漏洞用工具測沒出來，只能手動抓包，驗證A系統中的權限到B系統時權限如何繼承。

內部ERP系統下對接了好幾套獨立系統，看來有戲。

我拉著老萬快速的在項目上線表中選了幾個達到安全測試的項目就快速撤離會議室了，我把想法跟老萬一說，老萬給了我一拳說到，要不你是黑客呢思維真飄散，我快速回到，你才是黑客呢，你全小區都是黑客。

我倆回到工位上，用自己的ERP賬號登陸到系統，通過HTTP抓包看了一下權限標識，原來權限是使用sessionID進行標識的，而sessionID就是員工的ERP賬號，確定了標識位，我點擊了HR子系統，看看權限的驗證是不是我預想的那樣，通過HTTP包的內容來看，猜的果然不錯，接下來就是關鍵一步了，替換上其它員工的SessionID，也就是傳說中的ERP賬號，替換后刷新頁面，系統沒有退出，接下來就簡單了，因為最心驚肉跳的過程要出現啦，嘿嘿。

在點開HR子系統的那一刻的同時，我模仿忍者結了一個手印，大喊一聲：中。隨著頁面的正常開啟，越權訪問成功。可以看到其它員工的考勤、假期、工資。

隨后，我跟老萬灰溜溜中帶著一大把沮喪關上電腦，或許你猜中了，我倆在一把的證據中明白了，我倆的工資有多么的微薄。。。

點評：

互聯網企業內部信息化建設在給員工帶來方便的同時，也帶來了風險，雖然其影響不會達到泄漏用戶數據那么轟動，但至少泄漏后也會讓獵頭公司或員工之間掌握公司人員機密數據提供了一個缺口。

同時跨系統之間的權限驗證也不止與內部之間，在對外的業務系統之中了同樣存在，其危害會直接導致核心業務數據的泄漏或公司線上業務被惡意調用造成經濟損失。

1. 跨系統之間的身份認證一定要通過自有加密機制保證不可逆；

2. 身份認證一定要判斷IP地址的變化，同時，設置失效時間；