上面扯了这一大堆越权漏洞的测试方法，但实际上并沒有彻底解决上面明确提出的难题.上千

个APP、上万个接口，每天都在增加上千个，如何去解？总量呢？增加呢？在以前，我都常常

会来给开发设计们做某些安全教育培训，可是实际效果呢？仅有极少数开发设计能真真正正了解

到越权的严重后果，实际效果并不开朗，该发生的漏洞1个都没少，而且实际效果没法考量,做A

PP安全防护也是有两年的時间了，如今所说的"安全运营"也愈来愈多的人提了，那我们都是运营

管理吗？是也不是，我更喜欢称自个为“技术运营管理”，用技术来彻底解决运营管理的窘境，这

一心愿是好的，踢皮球的事儿一直免不了的.

 

 

返回越权漏洞的难题，每一次做安全防护众测，都是会爆出去一大堆越权的难题，不缺以前发生

相近漏洞的APP，随后便会有些人蹦出来问，他们以前复盘总结的action贯彻落实了没有？为何

还会继续发生？balabala，这类难题我又何尝不是常常问一下自己，到底是为何？这段时间和师

父也常常在探讨这类难题，那麼难题出在什么地方了呢？先说一下我的思索结果，越权漏洞的法

解是”工作流程+软件(网络监控)+覆盖率+蛮干”

 

 

工作流程，举个事例，当SRC汇报了1个越权漏洞进来，开发设计开展修补，随后开展复盘总结

(发生这个问题的本质原因是什么？其他API会普遍存在吗)，开发设计领了检查类似API的action

回来，检查开展后，安全工程师审查开发设计朋友的检查结果，产生闭环控制.软件(网络监控)，

软件这一范畴就很广了，我认为，不论是开源系统的還是自个开发设计的软件都好像一片片乐

高积木，将他们利用适合的方法搭配起来，才可以充分发挥出较大的实际效果；而不是为了更

好地kpi指标而不断的代码重构，造完1个明年塑造1个.

 

 

对于增长的API，创建健全的网络监控管理体系，覆盖率。这一点是最关键的一个方面，你能发

觉，每一次发生意外的点全是你沒有涵盖到的，对资产的了解层度，对API的网络监控详细度都

十分关键.但这一也并不是我真真正正想表现的点，由于依照上面的表述，還是要搞一整套类

SDL的事物出去，API那么多，人就这三四个，到年末又转变成PPT上源代码了，次年难题依旧

,虽然在这里类风险性的彻底解决上沒有一招的探讨，可是我认为真真正正须要去做的是逐一点

打爆，一步一步的去融合风险性；将一个一个点打爆，才可以真真正正的处理问题，而不是浮

在表层，看上去显得专而精，其实只不过外强中干；沒有工作流程、技术支持的事物我是不相

信的，千万别提什么样宣传啥的，没有什么作用.

 

 

比如这一环节就只做”复盘总结--开发设计自纠自查--安全防护复检--安全防护收集漏洞--复盘总

结这一闭环控制，坚信用不到6个月，就可以对高风险APP的风险性开展合理融合.上面沒有提

蛮干这一点，有的时候要彻底解决风险性，地毯式排查通常是最有效的方法；为何这讲了，假

定从现在起整治越权，那几千几万个总量API怎么处理呢，等扫描软件开发设计开展？此刻能

够对API开展等级分类，鉴别出在其中包括灵敏数据的API，此刻就剩好几千个了(也是十分巨

大的劳动量，可是只有咬着牙上)，对这些API开展地毯式排查，沒有灵敏数据的越权，伤害還

是相对性可控性的；方法low了点，但实际效果是有的，另外创建健全的增加接口网络监控管

理体系，对增长API按时的开展彻底解决;在审查了很多的接口后，归纳总结，对每一个业务流

程域的权限构架开展提升(自然这十分艰难)，安全防护连接进来，从本质处理问题（这类实施

方案是小编如今已经实践性的，实际效果6个月后再去写一篇文章）.