用的绿盟扫的,改下版本号就没漏洞了,笑死...
第 1 条附言 · 12 小时 15 分钟前
按漏扫报告,大于xx版本就行,那像 redhat、suse 这种厂商都没去升级大版本,都采用 backport 的方式
 |
1
Vraw5 15 小时 42 分钟前
把版本号编译的时候去掉,就永远没有漏洞了~
|
 |
2
huangsijun17 14 小时 51 分钟前  4
难不成,一个一个的 poc 跑过去?先不说一些 poc 需要系统性能、各种环境、触发条件,不少 poc 还有假阳、假阴,怎么判断?
|
 |
3
strobber16 13 小时 40 分钟前 via Android
他们就姑且一跑,客户就姑且一看。大家都是混口饭吃
|
 |
4
deplives 13 小时 31 分钟前 via iPhone
都是为了合规要求 你想让人家真给你白帽子?
|
 |
5
luozic 13 小时 22 分钟前
有按漏洞那种扫的,但是那种是付费的。 就是找专业团队来搞渗透
|
 |
6
PopRain 12 小时 40 分钟前
直接把你生产系统搞崩? 大部分公开漏洞就是版本相关的,让你升级个版本算了
|
 |
7
bingfengfeifei 12 小时 28 分钟前
大家默契一下就行了。漏扫的研发写起来也轻松,你们处理起来也轻松。
像是那种过时框架的漏洞,例如 vue2 的新漏洞,都没人维护了。 要是他真的原理扫描,你不要修吐血吗。官方不管,难道旧业务升级框架。 把版本号隐藏掉一编译就过了 大家都舒服。 要是真要命的漏洞,肯定你自己比审查人员还着急,例如前段时间的 react 那个漏洞 |
 |
8
zed1018 12 小时 27 分钟前
@huangsijun17 但是就算是只看版本号,各家 backport 的版本总该记录一下吧。
|
 |
9
taikobo 9 小时 16 分钟前
感觉软件工程师这个岗位, 真的是只关注代码能不能跑, 对于 security 和 compliance 的认知还停留在很低的水平
在现实世界中, risk 和 benefit 本来就是一对互相矛盾的平衡, 很多时候都是靠 case by case 的分析, 不存在完美的规避所有风险的可能性, 只能说受益大于风险, 风险控制之后, 剩余风险可接受, 就可以了 SSH 固然是一个风险高的点, 但是 SSH 端口是否暴露在公网上, 允许 SSH 登录的用户权限如何, SSH 的服务器存什么数据, 都是考虑的点 我认为看版本号完全是一个可以接受的做法, 谁作为用户自身没事干去魔改版本号欺骗漏洞扫描? 如果你是公司雇员为了过漏洞扫描特意改版本号, 那么严格来说你有几率吃牢饭的, 这已经脱离技术问题变成人的问题了. 此外现实中你也不可能只靠一个漏洞扫描工具作为全部风险控制的手段, 重要的服务定期做渗透测试也是补充手段之一 |
Select Language