WooYun.org

略。
针对半年左右对盛大网络的分析，大概摸透了盛大内外网部署及安全弱点：
盛大网络这样多服务器，大型网络中非常需要一个整体的产品线及内部网络安全解决方案。
比较明显的问题有：
服务器类型、版本、应用多样化，建议建立一个健全的网络安全管理方案或者机制。
包括重要的应用系统的后台等提供外部网络访问，建议做好ACL。
权限控制不严格，产品线上发布版本或者新功能前建议功能测试和安全测试分开测试。
之前看过积分系统级几个重要的业务应用系统虽然有web端有限制IP行为，建议LDP等统一身份认证系统来控制更好。
内部网络安全建议用旁路等方式侦听，对access log iss log去自动化分析机制去挖掘发现web漏洞更合理些。
外部网络的话对全网覆盖进行扫描方式去发现挖掘漏洞。如AIscanner,VeraCode等国内外web在线扫描工具去分析。
还有就是对开发人员进行安全培训，LAMP环境下统一部署（虽然实现起来不太现实）。有统一标准安全方面管理更好控制。
还一个重要一点的是，对内部网络入侵后无法在有效时间内响应，建议建立内部入侵告警或IPS IDS响应平台。