支持内推. 我一个朋友也强烈推荐你们公司, 我现在在找安全方面的工作,所以就看了
一看你们的系统, 感觉蛮有意思的,想申请一下,但有一些产品方面的疑问.
感觉你们的hardware appliance模式做的蛮不错的, team也很牛, 但threat model不是
很清晰.看
起来像是用来给有面向用户webapp的公司来保护用户的? 况且像楼上说的动态变化只能
防脚本小子等级的简陋工具吧, 他们大不了开个chrome,用按键精灵对填写用户名的那
个框框自动右击,点inspect element,然后就能知道对应的form了.
当然啦,从另外一个角度上来说你们的这个系统其实是一个高端的http challenge,你希
望让用户证明他真的点开了提交form的页面. 很多年前的研究有类似让用户计算机做个
很复杂的数学题之类的, 然后网站在处理request前看看用户提交的答案来判断 用户有
没有真正的打开那个页面. 这样可以让ddos攻击或者form提交扫描的资源消耗,变得更
加对称,逼迫攻击者必须消耗相对更多的网络/cpu资源. 但application ddos其实用的
并不是很多吧, 这年头随便砸点钱纯靠network layer的ddos就基本能推平大部分网站.
而且,你们并没有防御sql injection, authentication bug等危害到企业本身的攻击.
我感觉其实你们还可以结合别的web sec技术,例如click fraud检测,bot检测 (
captcha) 来增加自己产品的能力.毕竟web安全方面目前应该没有很多hardware
appliances吧,但其实这些东西不少已经是通过cdn来做的 (cloudflare). 企业到底是
会通过hardware appliance还是cdn来植入web app security还比较不确定. 我个人感
觉cdn其实应该更好一点,因为大公司本身就需要cdn服务, cdn公司在他们的delivery
node里加入polymorph的功能也不是不可能, 而且你们的polymorph可能被cdn所
cache成静态的. 如果cloudflare把你们买了, 他们的universal 免费ssl 加上你们的
polymorph, 那应该是web sec一大进步.
本人一点愚见,我不是搞web sec出身的,如果理解不对的地方,往楼主海涵...
