这是一个创建于 2538 天前的主题,其中的信息可能已经有所发展或是发生改变。
div class="topic_content">
发现另外一个项目组的漏洞( get shell 那种),可以获取到所有用户的身份证照片,随即提交到同事那边,今天另一个项目组的同事过来了解情况。
我说有漏洞,然后复现。
他说这个是有控制的,只有登录后才能利用这个漏洞。。安全意识呢??
就问怎么解决,说黑名单过滤后缀。。
最后提出了我自己的想法:1.去除物理文件路径; 2.后缀白名单; 3.服务器禁止解析权限; 4.用户身份证信息加密。
后面我们又讨论了些其他的,最后看他对这个问题这么不是很在意,就说你什么态度(语气不太好)?然后他反问我是什么态度?是啊,我什么态度。
只是可能他并没有理解我的意思,我的意思是对用户隐私的态度,而他却理解成了说话的语气以及方式。
想了想,另外发现的一个严重级别的漏洞就没说了,毕竟显得太多管闲事。
对了,这是来到公司提交的第三个 get shell 级别的漏洞,或许也是最后一个了吧。
最后替用这个产品的用户捏把汗。
 | 1 zhujinliang 2019-01-28 21:28:28 +08:00 via iPhone 又不是不能用.JPG |
 | 2 autoxbc 2019-01-28 21:45:51 +08:00 按照套路,被黑了你是第一嫌疑人 |
 | 3 PP 2019-01-28 21:48:24 +08:00 via iPad  49 虽然不清楚是什么产品,不过楼主为用户着想的做法非常值得称道! 我有一个发生在自己身上的教训分享给您。在工作了差不多十年后,我在某种巧合下认识到自己说话的方式不对,会给同事带来压力,有时同事会因为感觉受到指责而产生防御性的反应。您身上可能也存在这个问题,或许可以从我的教训中得到一点提示。 祝好! |
 | 4 yunye 2019-01-28 21:49:14 +08:00 先上线卖起来 |
 | 5 justin2018 2019-01-28 21:53:10 +08:00 为楼主点赞~ 为用户着想~ |
 | 6 kulove OP @PP 没错,说话的方式已经改了不少了,很多都是关我屁事的心态,但是遇到这种原则性的问题还是忍不住。。 |
 | 7 loryyang 2019-01-28 21:56:54 +08:00 做正确的事情是你的选择,而不是别人的选择。你除了证明你这种选择能获得更大的成功,从而吸引别人模仿,别无他法。 讲道理?小孩子都不听,你以为一个见了那么多世面的大人会听? 免得话显得太冲,加一句:能主动发现漏洞,能告诉相关人员是非常赞的做法,但是无论如何,都要知道:无法强制改变别人的想法 |
| 9 kulove OP |
 | 10 uuair 2019-01-28 22:08:30 +08:00 我同意楼上说的,无法强制改变别人的想法。你认为对的,不一定别人认为,你认为说话方式对的,别人也不认为。。。。换位思考一下,谦受益,满招损。 |
 | 11 brblm 2019-01-28 22:09:02 +08:00 via Android 耿直的程序员。 |
 | 12 Donald5VE 2019-01-28 22:10:24 +08:00 via iPhone 2 非常想知道是什么产品,要尽量避免使用 |
 | 14 CallMeReznov 2019-01-28 22:44:58 +08:00 一般干安全的很容易走入这个死循环里 建议看看 凤凰项目 归根究底是方式方法 |
 | 15 hellowes 2019-01-28 23:00:43 +08:00 的确,毕竟这种修复安全 Shell 的问题,写到月总结上是不光彩的,还容易打乱他的工作进度(我并不是说不应该修复这种安全问题)。 楼主其实也可以用“关我屁事”来解决这方面的问题,毕竟大家都只是混口饭吃,他愿意修复就修复 |
| 16 hellowes 2019-01-28 23:02:14 +08:00 很多人天天加班,产品其实能用就行了。如果这是内部系统,那更简单了,直接把各个帐号权限控制好日志记录,信任同事,后面再慢慢进行安全测试。 |
| 17 hellowes 2019-01-28 23:02:47 +08:00 不要喷我,作为一个码农,我觉得做当前任务之外的事情,真的很难让我提高积极性 |
 | 18 40huo 2019-01-28 23:03:30 +08:00 via Android 不算故障么 |
 | 19 whoami9894 2019-01-28 23:07:01 +08:00 via Android 没有专门的安全人员检测吗。听着是文件上传 get shell 了,那可就不是获取身份证照片那么简单了 |
 | 20 Owenjia 2019-01-28 23:25:56 +08:00 甲方的安全团队也经常遇到这种情况…… |
 | 21 guoer 2019-01-28 23:31:25 +08:00 这种漏洞直接汇报给大领导就可以了 |
 | 22 jadec0der 2019-01-28 23:38:49 +08:00 既然他没有安全意识,以后就跟领导汇报好了 |
 | 23 ETiV 2019-01-28 23:44:40 +08:00 LZ 你按照自己的态度说下去,他就懂这里的「你什么态度」是啥意思了 中文太博大精深了~~~ |
 | 25 scnace 2019-01-29 01:20:20 +08:00 via Android 想知道什么产品 +1 |
 | 26 ryd994 2019-01-29 03:29:50 +08:00 via Android 2 “你什么态度” 不能这样讲话。 工作沟通,少讲观点,多讲事实。 “这个漏洞如果不是我而是是外人发现,后果很严重啊。甚至可能已经有人在利用了。” 你没有以为替他着急上火。他不急拉倒,报给领导。你提醒过,这就是同事义务尽到了。 |
 | 27 imn1 2019-01-29 03:43:17 +08:00 “你什么态度” 这年头,除了对着客服,对谁都不敢说这话 |
 | 28 smallc2009 2019-01-29 05:50:47 +08:00 这年头同事之间还居然用“你什么态度”~~你又不是他领导 |
 | 29 nmsl 2019-01-29 06:12:32 +08:00 抄送领导 |
| 30 kulove OP |
| 31 kulove OP |
| 32 kulove OP @hellowes 那要看什么问题,很多小逻辑问题,xss,csrf 之类的我都不会说的,但如果是 get shell,sql 注入这种,那么真的想问职业素养在哪里?? |
 | 33 Foxkeh 2019-01-29 07:52:35 +08:00 via iPhone 失败的沟通 |
 | 34 duan602728596 2019-01-29 07:52:53 +08:00 via iPhone 啥也不想说了,这就是干活没有脑子 |
| 35 kulove OP @hellowes 对了,虽说这个 shell 是登陆后才能获取到,但是我有其他的方法可以绕过,日志又如何查到呢? 再者说,如果要搞破坏,库都拖完了有什么用?还有多重代理怎么查?谁会给查? |
 | 36 xiaohuamao 2019-01-29 07:55:19 +08:00 via iPhone 有事说事,就是领导,也不能随便用你什么态度压人 |
| 37 kulove OP @xiaohuamao 注意审题,我这里的态度和他理解的态度并不一样,当然,太激动导致说话有问题,我认。 如果不涉及到敏感信息,利用面不是那么广,关我屁事呢? 噢对,提这个问题还有一点就是怕最后运维同事一起背锅,至于说的另一个漏洞就是开发的事了,所以那个就真的是关我屁事了。 |
| 38 hellowes 2019-01-29 08:26:24 +08:00 via Android @kulove 那估计你们后端的技术架构有问题,这年头不是直接传 sql,用低版本几年前的类库,很少有这种情况。不过我也觉得楼上说的对,不要说 你什么态度,毕竟听了让人厌烦,而且对你也没有什么受益 |
| 40 kulove OP @hellowes 文件上传 get shell,不是测试,老实说啊,我脾气一直挺好的,但是..你能体会到对用户隐私泄露解决方案的那种态度么.. |
| 41 kulove OP @hellowes 就是那种不明白 get shell 带来的危害,然后又说只有登录后才能利用,言外之意不就是这个危害不是很大么?还有解决方案啊,黑名单后缀名不是治标不治本么。。 当时真想给他一套组合拳,告诉他,我没有登陆账户也能 get shell。。 |
 | 42 aloyuu 2019-01-29 08:44:50 +08:00 做法称赞 你同事太渣. |
 | 43 loveour 2019-01-29 09:02:18 +08:00 所以为什么没能说清楚“什么态度”是什么意思?想法非常好,沟通技巧稍微提高下就更好了。不过无论如何,这种对用户信息不在意的态度非常不好。 |
| 44 hellowes 2019-01-29 09:07:43 +08:00 @kulove 楼主对于产品非常负责任,也对用户负责。如果你们是创业公司,我觉得这种态度是很值得称赞的,但如果是普通的传统企业,有时候不必太上心,而且这也不是你的项目 |
| 45 kulove OP @whoami9894 对的,危害非常大,并没有安全团队。 但是这种文件上传 get shell 对于开发来说要有基本的避免意识吧。。 |
 | 46 guitarkitten 2019-01-29 09:08:18 +08:00 via iPhone 多管闲事 |
 | 47 munn 2019-01-29 09:09:32 +08:00 via iPhone 这种垃圾开发同事 就应该干死丫的 |
| 48 kulove OP |
 | 49 37Y37 2019-01-29 09:22:23 +08:00 支持楼主,支持抄送领导。 |
 | 50 lorryo 2019-01-29 09:25:03 +08:00 漏洞提到 cnvd,顺便写上公司官网上的联系邮箱。 |
 | 51 c0878 2019-01-29 09:25:25 +08:00 交给白帽子呀 |
 | 52 famez 2019-01-29 09:26:11 +08:00 做的很棒,超赞 |
 | 53 Martin9 2019-01-29 09:28:19 +08:00 楼主很负责,但沟通的时候最好避免反问句。 我现在觉得反问句太具有侵略性了。 |
 | 55 hosea 2019-01-29 09:30:53 +08:00 支持楼主。。 不过这种跨组沟通一般还是直接上级对上级好点。。 我们有个项目因为网络安全组加了一个 WAF 之后。。很多连接都被阻挡了。。联系了对面同事扯皮了快一个月。。最后还是 Leader 出面跟对面 Leader 沟通才搞定。。 |
 | 56 zhazi 2019-01-29 09:31:23 +08:00 via Android 情智双低 |
 | 57 mmdsun 2019-01-29 09:31:56 +08:00 via Android 发现问题是好的。只不过方式不对就会变成:刚来公司就给别人找茬??不要刚到公司给别人一下提很多 bug,安全漏洞。 |
 | 60 mywaiting 2019-01-29 09:40:27 +08:00 2 作为业余的安全人员,只能说这事情太常见了 不过同事嘛,熟悉的就私下聊天提一下,不熟悉的就直接丢公司安全组(假如有的话) 实话实说,安全这事情,多数的人,尤其是开发,觉得这根本不是事,与其跟其浪费心情,还不如不理不睬任其自生自灭好了,我几年前( 12 年)发现公司某系统的一个任意文件下载漏洞,刚刚去看了一下,还在......... Geek/Hacker 觉得这是 build a better world 的方式,但是很多人觉得这是利益相关,国人甚之 见过太多这样的事情,感觉都麻木了 发现有洞,冒险上报真是玩火的行为,反正非利益相关,爱怎么样就怎么样吧 |
 | 62 mengzhuo 2019-01-29 09:53:42 +08:00 他不想解决的话就跟领导报一下就好了,不用质疑态度的。 |
 | 63 keikeizhang 2019-01-29 09:57:53 +08:00 虽然不清楚是什么产品,不过楼主为用户着想的做法非常值得称道! 我有一个发生在自己身上的教训分享给您。在工作了差不多十年后,我在某种巧合下认识到自己说话的方式不对,会给同事带来压力,有时同事会因为感觉受到指责而产生防御性的反应。您身上可能也存在这个问题,或许可以从我的教训中得到一点提示。 祝好! ----------------- me too 引以为戒 可以好难改 @PP |
| 64 ryd994 2019-01-29 10:02:39 +08:00 via Android @kulove 你是要争个高下,还是要把事情办成? 你觉得天经地义,别人不一定这么想。 你和他吵,只会把他树到对立面上。本来可以办好的事情也办不成了。 你们之间有根本性的矛盾么?大家都是打工的,都是在同一间公司打工。而且又不是直接的竞争关系。应该说没有不可调和的矛盾。能提醒是情分,不提醒直接上报是本分。 但是无论如何你没有权力对他的工作过多干涉,他不是你的下属。就算是下属也最好不要,因为大家都是打工仔,下属不是奴隶。 工作沟通讲究客观,不带个人感情,我觉得这是专业性的体现。 在 oncall 中,这一点更加重要。生产环境出故障了,大家都很急,讲话顾不上礼貌。同时又涉及很多小组。说实话大家都想甩锅。但是如果全都在推卸责任打嘴炮,最终大家一起倒霉。说话能以客观事实为中心,那就算语气不好,别人也无话可说。高效地修复问题,这才是第一要务。 |
 | 65 jmc891205 2019-01-29 10:07:28 +08:00 via iPhone 是你们公司制度的问题 没有为这种跨组的合作建立一套沟通机制 |
 | 66 xiaozi0906 2019-01-29 10:08:37 +08:00 1 看得出来,贵公司安全并不太重视,如果是互联网公司,早晚得付出代价。 发现问题,思考如何去解决问题,而不是问"你什么态度",遇到脾气冲一点的,是没有好处的,解决不了问题。 可以把问题升级,反馈给项目经理,不行再把级别升上去。 站在企业安全管理的角度,你挖几个漏洞而已,也解决不了核心问题,缺的是项目上线前的安全测试流程,缺的是对安全的重视程度。 |
| 67 kulove OP @ryd994 这个与我利益无关,提出了也不会有一毛钱的好处,并没有和他吵,如果不是觉得对方的态度问题,是不会这么说的。 提出解决方案也不属于对他的工作过多干涉。后面说了既然讲专业性,那么我说的应该蛮客观的,什么危害都讲了,别人一句登陆后才能获取怎么搞?。。当场给绕过打脸么?。 |
| 68 kulove OP @xiaozi0906 重视程度这个不是一朝一夕形成的,在我看来 get shell 的漏洞就是核心问题,解决这个安全就提升几个等级了。。 |
 | 69 wupher 2019-01-29 10:16:13 +08:00 1. 匿名发到 github 上 2. 转发至公司的开发大群里面 |
 | 70 183shl 2019-01-29 10:19:21 +08:00 via Android 刚来公司,已经发现很多系统存在的漏洞了,现在写的这个项目也有越权,但是刚来还是个实习,说了也不重视,的确非自身利益说多了还得罪人,项目用户量蛮大的,还有各种企业用户。 |
 | 71 houzhimeng 2019-01-29 10:24:36 +08:00 不对吧,公司应该报警 抓捕你这发现漏洞的人啊? |
 | 72 TheWalkingDead 2019-01-29 10:25:13 +08:00 楼主绝对情智双低。 活了大半辈子,从来没见过情商低到跟别人说“你什么态度”这种话的人。 |
| 73 xiaozi0906 2019-01-29 10:27:46 +08:00 @kulove 拿几个危害严重的漏洞作为案例,试图帮助公司去建立一个项目安全测试的流程,也是一个发挥你才能的一个机会。 在我看来,这就是一个后台任意文件上传,很多新系统都可能遇到,可以站在程序员的角度帮助他们一起解决。 你提出的想法,在程序员那里更多的会理解是要求,特别是变更代码量多,会造成他们的压力。 可以尝试探讨一下,代码是怎么写的,然后提出你的想法,可能这样写会更安全一些。 |
| 74 kulove OP @TheWalkingDead 这句话说错了我认,没办法,说出去的话泼出去的水。 |
 | 75 lizhenda 2019-01-29 10:32:52 +08:00 说楼主情商低的我同意,lz 自己也没反驳,那些说智商的低我的就笑了,在这里找优越感?别人是白帽子哎,嘲讽别人带点脑子呀 |
| 76 lizhenda 2019-01-29 10:36:28 +08:00 对于那个同事,俗话说别去叫醒一个装睡的人,你提醒了已经仁义至尽,还去帮忙想解决办法就有点过于热心了,这种一般人自负或者嫌麻烦的人是不喜的。所以第一时间察觉了对方对待这件事的态度,那就适可而止,看清了对方对技术和产品是个什么态度,自己心里明了了,以后就知道该怎么打交道了,道不同不相为谋。 |
| 77 ryd994 2019-01-29 10:36:29 +08:00 via Android 1 @kulove 你不是他领导,就没有权力干涉,也没有权力评价他的工作质量。这是他领导的工作。他工作有什么问题当然向他领导反映,打狗还要看主人呢。 真的不爽的话,复现一次,留下记录。邮件发给他,抄送自己和他双方领导。事先口头和领导通个气。他领导自然会治他,他领导不治他你领导就能治他领导。 他再不爽,也得表面上谢谢你。事后耍阴的那也没办法了,谁叫你非要去出这个头结仇呢? 如果谁都不管,那你就更不用操心了。有书面存档的事情,出了事活该他的。 |
| 78 kulove OP @xiaozi0906 有的,曾经拿系统做了安全测试,列出了几个严重漏洞案例以及危害。然而并没有人在意。 |
 | 79 William13 2019-01-29 10:38:45 +08:00 头像是 wow ? |
 | 83 DANG 2019-01-29 11:01:44 +08:00 老哥如果你是给人家打工的,就要认清自己打工者的身份。工作其实就是一个获取最大利益的过程,有的事其实同事们都知道是咋回事,但是只要他们自己不说不做,就不会担责任。如果你有实权,那就直接去组织解决;如果没有实权,那希望你可以上报给领导,并且说明严重性以及影响,并依据领导的指示行动。对于同事,你只需要抛出问题,既然你没有权力去增加同事的工作量,那就尽量不要体现主人翁意识,否则你会对其他人带来很大的困扰。 |
| 85 kulove OP 1 @bk201 可以先看看这个:知道创宇研发技能表 v3.1 http://blog.knownsec.com/Knownsec_RD_Checklist/v3.1.html# |
 | 86 UxCZbWShjEsL 2019-01-29 11:05:45 +08:00 via iPhone 我都是找测试和产品去和开发讲的,大部分问题他们都是知道的,不乐意改 |
 | 87 Sevenskey 2019-01-29 11:08:33 +08:00 不明白为什么楼里有人攻击楼主智商低,我也是活了小半辈子从来没见过莫名其妙就攻击别人智商低的人。 |
| 88 kulove OP @0myun 还有一点就是白帽子在国内还属于灰色边缘行业,参考世纪佳缘,有风险的。 而且这种公司内部的漏洞,发出去也不合适。以后不提就好了。 |
 | 89 httplife 2019-01-29 11:14:34 +08:00 为楼主行为点赞. 人与人之间的差距, 某些程度上来说, 取决于态度. |
 | 90 jssyxzy 2019-01-29 11:14:37 +08:00 在公司就要遵守一定的程序和规范,不然就乱了。 你可以和他沟通,沟通不了可以抄送他上级; 甚至严重的漏洞可以 cc 各个大领导。 但是你没有必要去和他争,甚至指责他。 |
| 91 kulove OP @DANG 这些大道理都懂,但是呢,像这种漏洞啊,应该是一个工程师最基本的职业素养吧? 这种东西考虑不到,那么是不是不合格呢?如果都知道却不修改,那肯定是不合格的。 事关那么多人的隐私泄露我又怎么可以当做没看到呢?况且啊,这不只是隐私泄露,对于互联网产品而言,往大了说是可以导致公司倒闭的。 |
 | 94 tutusolo 2019-01-29 11:52:05 +08:00 2 @kulove 合不合格你也评判不了, 这不是你开的公司, 要认清自己所处的位置, 发现了 bug 就得改? bug 也有优先级, 也要有排期, 也要安排人手去干. 这些不还是得他们干, 再者说, 他出了 bug, 周报月报怎么搞, 绩效怎么算. 你这变相的是侵犯别人的利益, 很多很多公司都有安全问题, 小公司 以业务发展为主, 哪里来的竞争对手搞他. 大公司有自己的安全组, 安全问题是他们的事情 跟你八竿子打不着的事情. 反正听意思感觉你像是刚刚毕业的菜鸟, 对什么都抱不平,职场老油条都是守住自己一亩三分地, 事不关己高高挂起 |
| 95 hellowes 2019-01-29 11:58:08 +08:00 #94 表示认同 其实我觉得小公司不可能所有事情都特别理想,除非有无尽的时间和钱 |
| 96 kulove OP |
 | 97 southsala 2019-01-29 11:58:19 +08:00 失败的沟通,俩人都比较暴躁, |
| 98 tutusolo 2019-01-29 12:09:27 +08:00 @kulove git shell 我应该比你懂, 在十年前我就知道了 危害? 那请问为何到现在都没暴露出来, 如果暴露出来了, 公司领导层不可能不重视,不可能还任由 bug 存在 照这样说就是还没爆料出来, 那么,危害再大有什么用??? 你不要跟我说什么潜在危害, 潜在的东西多了去了, 这个东西一定就是他搞出来的?? 还你什么态度, 换做是我 不把你揍的鼻青脸肿已经对的起你了 我并不知道你们公司的体量有多大 我说的是一般的小公司 很少有小公司被搞 看清楚字眼再来回复 我觉得你情商真的很低, 你做人的底线侵犯了我的利益, 没对你拳打脚踢已经够对的起你了 你可以坚守你的底线 但是前提不要去侵犯我的利益 |
 | 99 reself 2019-01-29 12:16:23 +08:00 via Android 楼主值得赞扬,但说话的方式需要改进。说话是一门艺术,是很重要的,你自己想表达的和别人接收到的一定是有偏差的,偏差大小根据不同的表达方式而不同。 "我的意思是对用户隐私的态度,而他却理解成了说话的语气以及方式",这不和我们自己都讨厌的"我是你妈我是为你好哪怕我语气不好你也得听我的"一样了吗? 至于安全,看看乌云的下场。想做白帽子是不行了,以后还是闷声发大财吧。 |
Select Language