文章总结： 本文记录了钟伟鹏从乙方渗透到甲方安全建设的经验。指出逻辑漏洞本质是架构缺陷，需通过权限矩阵实施安全左移。文章阐述了甲方SDL实践，涵盖需求评审、SAST卡点、DAST优化及非追责复盘。建议从业者加强技术纵深与开发能力，实现从修补到源头防御的转变。 综合评分： 90 文章分类： 安全建设,安全运营,渗透测试,安全培训

安全测试工作实践与思考—钟伟鹏专访

原创

Max Luo Max Luo

白帽子罗棋琛

2026年1月17日 08:19 广东

嘉宾简介

“ 钟伟鹏（OSCP/OSEP/OSWE持证者），前某电商平台安全测试负责人。从月薪2800元的安全实习生起步，历经乙方渗透测试实战锤炼，最终转型为甲方安全测试体系建设者。本期访谈中，他系统分享了安全团队如何平衡漏洞挖掘与业务防御，以及逻辑漏洞的本质解法。

”

01

实习的 “第一桶金”

—

1. 钟伟鹏在找实习时，面了 20 多家公司，最终只有一家录用他，月薪 2800 元。但在这家公司，他遇到了志同道合的伙伴。当时比他早半年入职的同事，带着他一起测试包括 TOP10 漏洞、逻辑类漏洞等，让他的技术基础得到了极大的提升，这也使得他能和面试的面试官畅聊一个多小时。
2. 他认为实习选择乙方公司是一个很好的锻炼技术的机会。从纯技术层面来看，乙方能让他在红队或专业领域得到锻炼。虽然大学时他没怎么好好念书，但在找实习的过程中，不断面试让他对自我价值有了更清晰的认知，也提升了自己的知识水平和面试技巧。他印象深刻的面试问题是关于 CORS 跨越漏洞，但他觉得很多面试问题比较模板化。
3. 得益于国家推动的网安行业发展，安全行业大量招人，为他进入安全行业提供了机会。

乙方的收获：

• 团队协作的价值：在前辈带领下，系统掌握TOP10漏洞、逻辑漏洞的测试方法，学习氛围和实战经验比薪资更珍贵；
• 乙方的黄金价值：驻场护网、红队对抗等高强度实战，让技术基础在短时间内快速夯实。

 早期面试的 “行业密码”  ：

• 早期面试官常问CORS等模板化问题，本质是等保等政策推动下行业扩张的缩影，当时安全岗位大量招人但考核标准尚未细化；
• 如今面试更关注实际业务场景，比如“如何证明安全工作对业务的价值”，更看重解决问题的能力而非死记硬背。

02

从乙方到甲方，不同的挑战与机遇

—

• 钟伟鹏从乙方到甲方后，工作有了很大的转变。在乙方时，个人的单兵作战能力非常重要，挖洞能力和代码审计能力是关键，目标是发现更多的问题，指标侧重于数量；而到了甲方，更注重全生命周期的管理，要预防问题的发生以及避免问题再次出现。
• 在乙方工作时，他遇到了不少挑战。比如知识面不够，与研发沟通存在困难，业务方对安全漏洞的处理时效和结果有疑问等。而在甲方，他的目标是预防公司不出现安全问题。

| | | — | | |

| | | | | — | — | — | | 对比维度 | 乙方视角 | 甲方视角 | | 核心目标 | 以发现漏洞数量为优先 | 聚焦预防漏洞，保障业务持续安全 | | 工作模式 | 发现漏洞→输出报告→结束流程 | 聚焦预防漏洞，保障业务持续安全 | | 挑战焦点 | 知识面不足，单兵技术压力大 | 跨部门协作与流程体系设计 | | 典型问题 | “为什么测过的系统还有漏洞？” | “如何从源头避免漏洞再次发生？” |

#

03

思考与实践

—

 1、管理规范

钟伟鹏在安全测试管理方面，从 SOP、服务质量要求、漏洞管理规范、安全测试申请规范等方面入手。制定的规范需要经过应用安全负责人、CSO、二级部门长等多层审核，试运行半年无异议后正式生效。

2、DAST漏扫脏数据痛点

在工具使用上，公司的黑盒工具目前未接入流量，公网攻击面扫描会实时反馈问题并做卡点。在测试过程中，被动漏洞扫描会触发流量，产生脏数据问题。经过几个月的迭代，通过仅针对查询接口扫描，利用 LM 识别接口类型，排除增删改查接口，解决了脏数据问题，将未授权扫描的准确率稳定在 80% – 85%，目前通过接口分类，准确率能维持在 90% 以上，成功推动业务方接入。

3、逻辑类漏洞的治理

很多人认为逻辑漏洞是安全测试环节的技术问题，但钟伟鹏指出：“权限类漏洞本质是系统架构设计问题。合格的架构设计应天然包含角色权限管控，而不是事后靠安全测试修补。为了解决这个问题，安全测试团队为产品同学提供权限设计矩阵，研发按照文档和代码片段进行开发，测试同学基于 PRD 进行双重检查。对于出现的权限类安全问题，追溯问题根源，对相应部门进行产品培训，提高员工的权限安全管控意识。

“ 逻辑漏洞的本质是架构设计缺陷”

解法：安全左移

• 设计阶段介入：给产品团队提供权限矩阵模板，明确角色功能边界（例如“管理员可下载全量订单，运营仅能查看所属订单”）；
• 三层校验流程：研发按设计文档开发→功能测试验证权限逻辑→安全测试二次审计，层层把关。

4、供应链安全应对

对于供应链安全问题，公司对于外采且私有化部署的系统，默认信任对方出具的三方安全报告，但也意识到存在风险短板。针对三方组件，尽量与供应商沟通获取源码，无法获取则进行全量黑盒测试。同时接入 EDR、XDR 等防御系统，增强防御能力。

5、团队管理与质量保障

在团队管理方面，他推动工单化管理，量化员工工作量，评估工作占比。在安全测试质量保障上，将相关要求写在 OKR 里，对响应时间、处理问题专业性等进行满意度评分。设置不同的验证周期，要求测试人员保留测试记录。鼓励公司内部非安全序列的员工发现漏洞，给予安全积分奖励，安全序列员工发现漏洞直接奖励钱，以此收敛风险。定期进行漏洞复盘，高危以上风险 3 天复盘，月度复盘。在复盘过程中，避免聚焦个人，围绕解决问题的目标，分析机制和流程是否存在漏洞。

6、甲方SDL建设实践

#

1. 需求评审阶段

   在业务需求流程中加入安全介入，对于跨境电商涉及的跨境数据传输、上传下载、敏感数据查询等高危场景，触发安全评审单。安全 BP 负责给业务方提供安全建议，支持一键触发安全测试。

2. 编码阶段

   使用代码扫描工具，基于公司业务场景定制，重点维护 SQL 注入和命令注入，目前命中率能达到 75 – 80%。同时设置安全门禁和卡点，在研发发布时进行扫描，如果高危漏洞数量大于零则进行卡点操作，需要修复完成后重新发布。有紧急审批通道，由二级部门负责人或部门安全 BP 审批。还提供 SDK，引用 SDK 的编码默认放行。

3. 测试阶段

   黑盒扫描工具，主要用于扫描逻辑类漏洞，如未授权访问等。采用周期性测试，针对存量应用，根据应用等级进行测试。应用等级根据开放范围（风险暴露面）和是否存储敏感数据来定义。同时进行公网攻击性扫描，对官网等开放组件进行扫描，确认无高危端口等问题后才能开放。

4. 培训阶段

   安全培训，包括安全设计培训、安全开发培训、测试培训以及 SDL 流程通识培训，针对不同角色进行精细化培训。通过每日安全一题等方式，将答题数据作为考核的一部分。以季度为周期对比漏洞数量，评估培训效果。培训形式多样，线上线下结合，考虑到公司有时差等因素，还提供录播课程。对于安全能力和意识较强的员工，可以通过考试代替培训。

5. 漏洞复盘的 “非追责” 机制

 当线上出现漏测漏洞时，钟伟鹏坚持：  聚焦体系缺陷：先检查SDL流程中培训、评审、工具检测等环节是否有缺失，而非直接追责个人；

分层归因解决：

1. 若SOP未覆盖该场景，立即补充流程；
2. 若为人为疏忽，深挖能力短板（如技能不足则安排培训，意识薄弱则强化安全宣贯）；
3. 主持人的关键作用：复盘开场即强调 “目标是解决问题” ，引导团队从机制层面优化，就事论事，而非指责个人。

04

职业感悟与行业洞察

—

1、正反馈与成就感

钟伟鹏表示，在职业生涯中，发现新漏洞和考取实战类证书带来的成就感和正反馈让他坚持下来。但刚开始接触新事物时，比如单独立项做项目经理、学习安全架构，会遇到很多不懂的地方，产生自我怀疑和想放弃的念头。不过随着经验的积累，心态逐渐改变，能力也不断提升。

2、持续学习方法

他分享了自己持续学习的方法，包括看技术博客、安全公众号等，在业务场景中学习。他认为金融和电商行业业务场景复杂，解决过的问题在一定程度上可以复用。

3、AI 对安全行业的影响

对于当下热门的 AI 技术，他认为 AI 的出现对安全测试岗位有积极影响，能够实现自动化渗透测试，提高测试效率。但对于安全测试同学来说，如果不学习和掌握 AI 技术，将面临较大的挑战。不过他也认为 AI 不会淘汰安全行业，而是帮助安全人员做更多的事情，核心是要掌握 AI 并应用到业务中提效。

4、个人短板与成长

钟伟鹏坦言自己的短板是开发功底不足，只能写一些脚本。他正在提升这方面的能力，以便更好地与研发进行零距离沟通，深入了解业务开发中的问题。

05

给入行时的自己 3 条建议

—

1. 技术纵深：通过靶场深度练习，真正掌握漏洞原理，而非停留在理论层面；

2. 安全广度：学习CISSP等框架，建立纵深防御思维，理解安全是系统工程而非单一技术；

3. 开发能力：掌握开发技能，能读懂业务代码，这是甲方安全岗位的加分项。

“在甲方，最受欢迎的是‘懂安全的开发’和‘懂开发的安全”

06

结语：安全是系统工程

—

从钟伟鹏的分享总结：

• 技术是起点，体系设计、跨部门协作是安全价值的放大器；
• 真正的安全不是等漏洞出现后修补，而是让漏洞消失在架构设计阶段，这需要安全团队深度融入业务，从源头构建防御体系。

（本文根据钟伟鹏访谈实录整理，不涉及具体业务细节）

彩蛋：一位误入网安歧途的歌手

互动话题 你认为甲方安全测试最具挑战性的场景是什么？欢迎在评论区留言，抽取 3 位读者赠送《DevSecOps原理、核心技术与实战》纸质书！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：白帽子罗棋琛 Max Luo Max Luo《安全测试工作实践与思考—钟伟鹏专访》