阿里巴巴-应用安全-2022届的实习生招聘

阿里集团安全部招聘实习生若干名(有意者咨询wx:wilson233333)

部门简介:我们是阿里安全部基础安全部门,负责阿里全经济体的SDL,向其他BU提供黑盒、白盒和供应链扫描能力,保障全集团应用和代码安全。

面向学生范围:

  1. 校招实习生,限 22 届毕业的学生
  2. 研究型实习生,不限毕业时间,参与实验室相关项目研究及论文发表为主

岗位职责

参与SDL建设,包括黑盒、白盒或供应链扫描方向

  • 白盒方向

    • 程序分析技术研究,了解学术和工业界前沿技术成果(例如:指针分析、符号执行或机器学习等),实现并思考落地方案;
    • 运营白盒扫描规则,对阿里经济体的产品、业务和系统进行漏洞扫描
    • 参与 Benchmark 样本建设,从规则丰富度和引擎能力两方面评测白盒扫描器
  • 供应链方向

    • 0day漏洞挖掘;
    • 跟踪业界动态,对1day漏洞事件进行复现,并设计检测、修复方案;
    • 端到端的供应链安全组件重打包检测技术预研,含成分分析,组件与函数相似特征提取,自动生成可验证POC/Exploit。
  • 黑盒方向

    • 运营黑盒扫描规则,对阿里经济体的产品、业务和系统进行漏洞扫描;
    • IAST系统建设,通过黑盒扫描和iast联动发现更多扫描漏洞。
  • 流量检测方向

    • 运营web实时流量扫描规则,对阿里经济体的产品、业务和系统进行漏洞扫描,内容安全分析。
  • 前沿安全预研及研究课题联合实验室

    • 对前沿编程模式(如低代码平台及编排平台)安全检测方案预研,产出支持多语言/低代码/无代码的统一静态应用安全分析框架。
    • 自动patch补丁推荐:大数据计算推荐自适应研发当前漏洞代码片段的生成修复后安全的代码片段(供应链类、技术漏洞均可)
    • 程序分析方向:大规模漏洞挖掘检测技术,辅助漏洞挖掘研究,相关工具原型研发。
    • 基于AI及大数据的智能程序分析技术。
    • 基础软硬件安全研究:参与相关基础软硬件漏洞挖掘与利用研究,比如浏览器、操作系统、虚拟化、数据库、智能设备等。

实习岗位要求:

  1. 计算机基础扎实,有专研精神,能保证2个月以上实习时间
  2. 对软件安全、程序分析、黑盒扫描有浓厚兴趣
  3. 能够熟练使用一种编程语言,或一种脚本语言
  4. 有Web或二进制安全基础,了解各种类型安全漏洞原因及其修复方案
  5. 加分项

    • CTF参赛经历
    • 漏洞挖掘经验(SRC、CVE等)
    • 有安全工具的开发经验(黑盒、白盒、Fuzz等)
    • 文档阅读和撰写能力(包括但不限于:安全技术文档、中英文paper等)
    • 安全相关学术研究成果(专利、论文等)
    • 有RASP / IAST / DAST / SAST 技术实现经验
    • 熟悉Java和JVM虚拟机

在这里,你能学到

  • 阿里安全SDL的最佳实践和经验
  • 接触真实安全事件,学习处理方式和解决经验
  • 了解当今一线安全产品,理解其内部技术实现并了解其优劣
  • 安全领域多年经验专家1V1师兄师姐指导,快速答疑解惑

工作地点

  • 杭州

2020.08.18.记-致新生

前言

昨天半夜梦回大一,梦见我dm大哥又在嘲讽我,天天搞些有的没的,不好好学点有用的。

惊醒之后,十分怀念大一求学的日子,当时也是鹤立独行的逃了大部分课,跟着一起小伙伴一起学习安全技术,虽然挂了不少课,但是也算学有所成。

不知不觉已经在阿里工作2年了,天天做需求,沦落为钉钉答疑工程师许久了,忙到blog也有两年没有更新了,东西没学到啥,骚话倒是学了一大堆。两年过去啥也没记录好像也不太好,应该多写写总结,即使和技术无关。

面试相关

最近面试几个实习生,给我感觉都是在攻击方面做的比较多,但是防守差了一点点。
想了一下之前自己也是这样喜欢做攻击方面的研究,防守方面随意了解一下就OK了,再加上ctf都是玩攻击那一套,这种重攻击弱防守的情况,好像就是圈里的新手的普片现象。

但是如果你毕业以后想去大厂做甲方,那下面几个知识点,可能需要你去加强:

1.基础漏洞原理及其修复方法

面试时候问到漏洞原理,小伙眉飞色舞,说的一套一套。但是问到怎么修复,大多支支吾吾,解释不清。
作为专业钉钉安全漏洞答疑工程师来说,熟悉各种漏洞修复方案的能力是必备的,不然和开发同学是装不了逼的。

这里推荐jc老师的java-sec-code,jc老师来了阿里以后沉迷于漏洞治理工作不能自拔,他已经把这几年遇到常见漏洞java代码已经修复代码都放到这个项目了,只要你好好研究了他写的每一个漏洞例子,你就可以和他一样骚!

如果你想来阿里,请多了解java方面的安全漏洞和cve。

2.代码能力,全面覆盖漏洞发现

熟练掌握一种以上的计算机语言能力,考虑如何编写程序,来批量挖掘漏洞。
大厂资产多,手工一个一个是弄不过来的,需要考虑使用代码来全面覆盖漏洞挖掘。

黑盒方面
我一开始也不知道怎么去写工具,后来我dm老师推荐我去读别人写的优秀代码,然后我就去github瞎搜,读了挺多nb的工具代码,比如sqlmap,虽然个人感觉代码难看,但是漏洞挖掘思路方面很赞。
我的凤凰扫描器,其实一开始也是参考了github上的lightscan,之后从端口扫描开始更多了解主机安全漏洞扫描,web漏洞扫描.... 这段经历对我目前的工作帮助很大。

白盒方面
相较于传统的黑盒漏洞扫描,白盒自动化代码挖掘门槛更高,这块和静态程序分析息息相关。这块个人研究也不深,贴一些lightless师傅给我的资料吧:
1.南大老师的软件分析课程,bilibili上搜uid:2919428(老师很帅)
2.pmd项目
白盒自动化漏洞扫描比黑盒扫描难的多,但是两者对应用安全来说都是非常重要的。

rasp&iast
这块我也研究不多,贴一些学习资料吧:
https://rasp.baidu.com/
http://rui0.cn/archives/1063#more-1063
http://rui0.cn/archives/1175#more-1175

日志分析方面
甲方最多就是日志,主要有:

  • 主机系统日志 (可以参考http://blog.wils0n.cn/archives/186/讲的ossec日志syslog分析)
  • web流量日志 (之前以为web日志就是request日志记录,后来才发现web日志还能有response,基于这个可以做很多漏洞检测的)
  • dns日志
  • sql执行日志 (sql注入的检测..)
  • ...

海量的日志分析,可能需要掌握一些大数据的基础知识。不过在阿里,他封装好了大数据的处理能力,只要通过sql语法就能来操作海量数据处理了。所以你只要熟悉掌握各种join语法的sql使用方法和udf编写方法就可以了。

上面提到的项目,还是基于你有扎实的基础知识编码能力,才能深入研究的。

结语

上面说的内容,仅仅是我个人感觉甲方重视的点,各个公司不同,不具有普片性,不喜轻喷。
但是如果你对我上面提到的内容都很熟悉了,欢迎加入我们。简历请投:weisen.cws@alibaba-inc.com

想起又是一年入学期了,估计不少大一的小伙挺迷茫的,给个人小建议:多尝试,找到喜欢的,合适的就坚持做下去、大学才是开始真正学东西时候,千万别荒废了呀……
最后祝新生们学业有成,鹏程万里。

sqlmap time-based inject 分析

1.前言

之前一次会议分享了sql注入检测方法,所以@chengable大牛问我sql注入咋检测的?我说在甲方做安全,sql注入检测还是比较好做的。
1)报错注入检测。
2)别做bool的报错注入,误报比较高。
3)做基于time-based的时间注入,联系运维做上慢日志db记录,监控sleep,benchmark的关键字监控,可以在sleep的时间小数点上加上扫描任务的id号,方便定位(ps,这种方法能找到99%的sql注入了)。




- 阅读剩余部分 -

centos 编译 chrome 踩坑之旅

1.前言

看了http://blog.fatezero.org/2018/03/05/web-scanner-crawler-01/ 这个大牛的文章,发现还有神人修改chrome代码来解决chrome headless的弹窗问题。。不得不佩服8g多的代码人家可以找到代码位置,并修改和优化。

前人种树,后人乘凉,决定改一下代码,自己编译一波,不想编译chrome如此坑爹。mmp,貌似能踩到坑我给踩了,不能踩的我也给踩了。。

- 阅读剩余部分 -