那天西奈山頂是Enki wrote:看來你資安這塊很強項資安沒有誰比較強,就是矛與盾的攻防。常勝將軍在這個世界是不存在的。
我是擔任企業的架構顧問,不是資安顧問,反而常常要和資安顧問打仗,尤其是會計師事務所的資安顧問,很多都是訓練有素,沒寫過一天程式,卻告訴我,我的程式有漏洞。
前兩年為了一個AES-CBC弱點掃描,我實際做了一場 Padding Oracle Attack 的攻防演練,所有攻擊程式都是自己寫,直接駭進範例網站。告訴資安顧問,什麼才是 Padding Oracle Attack。因為很多長官都在場看,看完之後,乖乖的修改 policy。
大家都是出來賺錢,如果資安顧問的建議不影響我的系統安全,大多會配合。但是如果照他的改更危險,我就會據理力爭。所以他們對我也很頭大。
