基于社区的持续风险管理平台实践 乌云·章华鹏·booooom 从Spring Boot的0day漏洞说起 Spring Boot Spring 是Java的三大框架之一，广泛应用与Java Web 的网站开发，Spring Boot是Spring的一个核心子项目。 目前国内各大互联网公司都在使用的一个新的微框架。 每⼀一个企业都很关⼼心的问题 企业是否遭受这个漏洞的影响？ 如何定位我们在互联网上的业务是否使用了这项技术？ 我们使用该技术的业务是否遭受该漏洞的影响？ 这会造成什么样的风险？如何修复？ 未来如何应对可能再次出现的安全风险？ 企业业务系统是否使⽤用了这项技术？ 全⺴⽹网业务系统梳理 应⽤用系统指纹识别 使⽤用该技术的业务系统是否遭受影响？ 基于指纹识别结果的⻛风险检测 这会造成什么样的⻛风险？如何修复？ 进⾏行⻛风险演⽰示 详细的修复⽅方案 未来如何应对再次出现的安全⻛风险？ 全面资产识别 深度风险检测 快速风险修复 持续风险管理 解决问题的秘诀=优秀的方案+高效的实现 基于社区的持续风险管理平台实践 全⾯面资产识别 ⼦子域名遍历 DNS数据 域名 IP DNS域传送漏洞 爬⾍虫抓取 安全是⼀一个整体 来⾃自社区贡献的指纹识别策略 应⽤用 服务 深度⻛风险检测 ⾃自研应⽤用程序⻛风险检测「SQL注⼊入/XSS/命令执⾏行等」 第三⽅方应⽤用程序漏洞「WP/OA/Discuz/Struts2等」 ⺴⽹网站内容安全⻛风险「挂⻢马/博彩/恶意内容/⿊黑链等」 基础服务漏洞「服务配置错误/通⽤用漏洞等」 员⼯工安全意识⻛风险「Github代码泄露/弱⼝口令等」 深度⻛风险检测 指纹&插件 平台引擎 命中分红 社区两万⽩白帽⼦子 ⼆二⼗十万漏洞积累 监测报表 企业 快速问题修复 业务不懂安全漏洞，⼀一脸懵逼 快速问题修复 详细的修复⽅方案 ⼈人⼯工⻛风险演⽰示 专属专家 100%准确率 专家⻛风险预警 持续⻛风险管理 周期性安全监测 风险趋势分析 谢谢