这是一个创建于 2124 天前的主题,其中的信息可能已经有所发展或是发生改变。
发现另外一个项目组的漏洞( get shell 那种),可以获取到所有用户的身份证照片,随即提交到同事那边,今天另一个项目组的同事过来了解情况。
我说有漏洞,然后复现。
他说这个是有控制的,只有登录后才能利用这个漏洞。。安全意识呢??
就问怎么解决,说黑名单过滤后缀。。
最后提出了我自己的想法:1.去除物理文件路径; 2.后缀白名单; 3.服务器禁止解析权限; 4.用户身份证信息加密。
后面我们又讨论了些其他的,最后看他对这个问题这么不是很在意,就说你什么态度(语气不太好)?然后他反问我是什么态度?是啊,我什么态度。
只是可能他并没有理解我的意思,我的意思是对用户隐私的态度,而他却理解成了说话的语气以及方式。
想了想,另外发现的一个严重级别的漏洞就没说了,毕竟显得太多管闲事。
对了,这是来到公司提交的第三个 get shell 级别的漏洞,或许也是最后一个了吧。
最后替用这个产品的用户捏把汗。
 |
1
zhujinliang 2019-01-28 21:28:28 +08:00 via iPhone
又不是不能用.JPG
|
 |
2
autoxbc 2019-01-28 21:45:51 +08:00
按照套路,被黑了你是第一嫌疑人
|
 |
3
PP 2019-01-28 21:48:24 +08:00 via iPad  49
虽然不清楚是什么产品,不过楼主为用户着想的做法非常值得称道!
我有一个发生在自己身上的教训分享给您。在工作了差不多十年后,我在某种巧合下认识到自己说话的方式不对,会给同事带来压力,有时同事会因为感觉受到指责而产生防御性的反应。您身上可能也存在这个问题,或许可以从我的教训中得到一点提示。 祝好! |
 |
4
yunye 2019-01-28 21:49:14 +08:00
先上线卖起来
|
 |
5
justin2018 2019-01-28 21:53:10 +08:00
为楼主点赞~
为用户着想~ |
 |
6
kulove OP @PP 没错,说话的方式已经改了不少了,很多都是关我屁事的心态,但是遇到这种原则性的问题还是忍不住。。
|
 |
7
loryyang 2019-01-28 21:56:54 +08:00
做正确的事情是你的选择,而不是别人的选择。你除了证明你这种选择能获得更大的成功,从而吸引别人模仿,别无他法。
讲道理?小孩子都不听,你以为一个见了那么多世面的大人会听? 免得话显得太冲,加一句:能主动发现漏洞,能告诉相关人员是非常赞的做法,但是无论如何,都要知道:无法强制改变别人的想法 |
|
9
kulove OP |
 |
10
uuair 2019-01-28 22:08:30 +08:00
我同意楼上说的,无法强制改变别人的想法。你认为对的,不一定别人认为,你认为说话方式对的,别人也不认为。。。。换位思考一下,谦受益,满招损。
|
 |
11
brblm 2019-01-28 22:09:02 +08:00 via Android
耿直的程序员。
|
 |
12
Donald5VE 2019-01-28 22:10:24 +08:00 via iPhone 2
非常想知道是什么产品,要尽量避免使用
|
 |
14
CallMeReznov 2019-01-28 22:44:58 +08:00
一般干安全的很容易走入这个死循环里
建议看看 凤凰项目 归根究底是方式方法 |
 |
15
hellowes 2019-01-28 23:00:43 +08:00
的确,毕竟这种修复安全 Shell 的问题,写到月总结上是不光彩的,还容易打乱他的工作进度(我并不是说不应该修复这种安全问题)。
楼主其实也可以用“关我屁事”来解决这方面的问题,毕竟大家都只是混口饭吃,他愿意修复就修复 |
|
16
hellowes 2019-01-28 23:02:14 +08:00
很多人天天加班,产品其实能用就行了。如果这是内部系统,那更简单了,直接把各个帐号权限控制好日志记录,信任同事,后面再慢慢进行安全测试。
|
|
17
hellowes 2019-01-28 23:02:47 +08:00
不要喷我,作为一个码农,我觉得做当前任务之外的事情,真的很难让我提高积极性
|
 |
18
40huo 2019-01-28 23:03:30 +08:00 via Android
不算故障么
|
 |
19
whoami9894 2019-01-28 23:07:01 +08:00 via Android
没有专门的安全人员检测吗。听着是文件上传 get shell 了,那可就不是获取身份证照片那么简单了
|
 |
20
Owenjia 2019-01-28 23:25:56 +08:00
甲方的安全团队也经常遇到这种情况……
|
 |
21
guoer 2019-01-28 23:31:25 +08:00
这种漏洞直接汇报给大领导就可以了
|
 |
22
jadec0der 2019-01-28 23:38:49 +08:00
既然他没有安全意识,以后就跟领导汇报好了
|
 |
23
ETiV 2019-01-28 23:44:40 +08:00
LZ 你按照自己的态度说下去,他就懂这里的「你什么态度」是啥意思了
中文太博大精深了~~~ |
 |
25
scnace 2019-01-29 01:20:20 +08:00 via Android
想知道什么产品 +1
|
 |
26
ryd994 2019-01-29 03:29:50 +08:00 via Android 2
“你什么态度” 不能这样讲话。
工作沟通,少讲观点,多讲事实。 “这个漏洞如果不是我而是是外人发现,后果很严重啊。甚至可能已经有人在利用了。” 你没有以为替他着急上火。他不急拉倒,报给领导。你提醒过,这就是同事义务尽到了。 |
 |
27
imn1 2019-01-29 03:43:17 +08:00
“你什么态度”
这年头,除了对着客服,对谁都不敢说这话 |
 |
28
smallc2009 2019-01-29 05:50:47 +08:00
这年头同事之间还居然用“你什么态度”~~你又不是他领导
|
 |
29
nmsl 2019-01-29 06:12:32 +08:00
抄送领导
|
|
30
kulove OP |
|
31
kulove OP |
|
32
kulove OP @hellowes 那要看什么问题,很多小逻辑问题,xss,csrf 之类的我都不会说的,但如果是 get shell,sql 注入这种,那么真的想问职业素养在哪里??
|
 |
33
Foxkeh 2019-01-29 07:52:35 +08:00 via iPhone
失败的沟通
|
 |
34
duan602728596 2019-01-29 07:52:53 +08:00 via iPhone
啥也不想说了,这就是干活没有脑子
|
|
35
kulove OP @hellowes 对了,虽说这个 shell 是登陆后才能获取到,但是我有其他的方法可以绕过,日志又如何查到呢?
再者说,如果要搞破坏,库都拖完了有什么用?还有多重代理怎么查?谁会给查? |
 |
36
xiaohuamao 2019-01-29 07:55:19 +08:00 via iPhone
有事说事,就是领导,也不能随便用你什么态度压人
|
|
37
kulove OP @xiaohuamao 注意审题,我这里的态度和他理解的态度并不一样,当然,太激动导致说话有问题,我认。
如果不涉及到敏感信息,利用面不是那么广,关我屁事呢? 噢对,提这个问题还有一点就是怕最后运维同事一起背锅,至于说的另一个漏洞就是开发的事了,所以那个就真的是关我屁事了。 |
|
38
hellowes 2019-01-29 08:26:24 +08:00 via Android
@kulove 那估计你们后端的技术架构有问题,这年头不是直接传 sql,用低版本几年前的类库,很少有这种情况。不过我也觉得楼上说的对,不要说 你什么态度,毕竟听了让人厌烦,而且对你也没有什么受益
|
|
40
kulove OP @hellowes 文件上传 get shell,不是测试,老实说啊,我脾气一直挺好的,但是..你能体会到对用户隐私泄露解决方案的那种态度么..
|
|
41
kulove OP @hellowes 就是那种不明白 get shell 带来的危害,然后又说只有登录后才能利用,言外之意不就是这个危害不是很大么?还有解决方案啊,黑名单后缀名不是治标不治本么。。
当时真想给他一套组合拳,告诉他,我没有登陆账户也能 get shell。。 |
 |
42
aloyuu 2019-01-29 08:44:50 +08:00
做法称赞
你同事太渣. |
 |
43
loveour 2019-01-29 09:02:18 +08:00
所以为什么没能说清楚“什么态度”是什么意思?想法非常好,沟通技巧稍微提高下就更好了。不过无论如何,这种对用户信息不在意的态度非常不好。
|
|
44
hellowes 2019-01-29 09:07:43 +08:00
@kulove 楼主对于产品非常负责任,也对用户负责。如果你们是创业公司,我觉得这种态度是很值得称赞的,但如果是普通的传统企业,有时候不必太上心,而且这也不是你的项目
|
|
45
kulove OP @whoami9894 对的,危害非常大,并没有安全团队。
但是这种文件上传 get shell 对于开发来说要有基本的避免意识吧。。 |
 |
46
guitarkitten 2019-01-29 09:08:18 +08:00 via iPhone
多管闲事
|
 |
47
munn 2019-01-29 09:09:32 +08:00 via iPhone
这种垃圾开发同事 就应该干死丫的
|
|
48
kulove OP |
 |
49
37Y37 2019-01-29 09:22:23 +08:00
支持楼主,支持抄送领导。
|
 |
50
yzkcy 2019-01-29 09:25:03 +08:00
漏洞提到 cnvd,顺便写上公司官网上的联系邮箱。
|
 |
51
c0878 2019-01-29 09:25:25 +08:00
交给白帽子呀
|
 |
52
famez 2019-01-29 09:26:11 +08:00
做的很棒,超赞
|
 |
53
Martin9 2019-01-29 09:28:19 +08:00
楼主很负责,但沟通的时候最好避免反问句。
我现在觉得反问句太具有侵略性了。 |
 |
55
hosea 2019-01-29 09:30:53 +08:00
支持楼主。。
不过这种跨组沟通一般还是直接上级对上级好点。。 我们有个项目因为网络安全组加了一个 WAF 之后。。很多连接都被阻挡了。。联系了对面同事扯皮了快一个月。。最后还是 Leader 出面跟对面 Leader 沟通才搞定。。 |
 |
56
zhazi 2019-01-29 09:31:23 +08:00 via Android
情智双低
|
 |
57
mmdsun 2019-01-29 09:31:56 +08:00 via Android
发现问题是好的。只不过方式不对就会变成:刚来公司就给别人找茬??不要刚到公司给别人一下提很多 bug,安全漏洞。
|
 |
60
mywaiting 2019-01-29 09:40:27 +08:00 2
作为业余的安全人员,只能说这事情太常见了
不过同事嘛,熟悉的就私下聊天提一下,不熟悉的就直接丢公司安全组(假如有的话) 实话实说,安全这事情,多数的人,尤其是开发,觉得这根本不是事,与其跟其浪费心情,还不如不理不睬任其自生自灭好了,我几年前( 12 年)发现公司某系统的一个任意文件下载漏洞,刚刚去看了一下,还在......... Geek/Hacker 觉得这是 build a better world 的方式,但是很多人觉得这是利益相关,国人甚之 见过太多这样的事情,感觉都麻木了 发现有洞,冒险上报真是玩火的行为,反正非利益相关,爱怎么样就怎么样吧 |
 |
62
mengzhuo 2019-01-29 09:53:42 +08:00
他不想解决的话就跟领导报一下就好了,不用质疑态度的。
|
 |
63
keikeizhang 2019-01-29 09:57:53 +08:00
虽然不清楚是什么产品,不过楼主为用户着想的做法非常值得称道!
我有一个发生在自己身上的教训分享给您。在工作了差不多十年后,我在某种巧合下认识到自己说话的方式不对,会给同事带来压力,有时同事会因为感觉受到指责而产生防御性的反应。您身上可能也存在这个问题,或许可以从我的教训中得到一点提示。 祝好! ----------------- me too 引以为戒 可以好难改 @PP |
|
64
ryd994 2019-01-29 10:02:39 +08:00 via Android
@kulove 你是要争个高下,还是要把事情办成?
你觉得天经地义,别人不一定这么想。 你和他吵,只会把他树到对立面上。本来可以办好的事情也办不成了。 你们之间有根本性的矛盾么?大家都是打工的,都是在同一间公司打工。而且又不是直接的竞争关系。应该说没有不可调和的矛盾。能提醒是情分,不提醒直接上报是本分。 但是无论如何你没有权力对他的工作过多干涉,他不是你的下属。就算是下属也最好不要,因为大家都是打工仔,下属不是奴隶。 工作沟通讲究客观,不带个人感情,我觉得这是专业性的体现。 在 oncall 中,这一点更加重要。生产环境出故障了,大家都很急,讲话顾不上礼貌。同时又涉及很多小组。说实话大家都想甩锅。但是如果全都在推卸责任打嘴炮,最终大家一起倒霉。说话能以客观事实为中心,那就算语气不好,别人也无话可说。高效地修复问题,这才是第一要务。 |
 |
65
jmc891205 2019-01-29 10:07:28 +08:00 via iPhone
是你们公司制度的问题 没有为这种跨组的合作建立一套沟通机制
|
 |
66
xiaozi0906 2019-01-29 10:08:37 +08:00 1
看得出来,贵公司安全并不太重视,如果是互联网公司,早晚得付出代价。
发现问题,思考如何去解决问题,而不是问"你什么态度",遇到脾气冲一点的,是没有好处的,解决不了问题。 可以把问题升级,反馈给项目经理,不行再把级别升上去。 站在企业安全管理的角度,你挖几个漏洞而已,也解决不了核心问题,缺的是项目上线前的安全测试流程,缺的是对安全的重视程度。 |
|
67
kulove OP @ryd994 这个与我利益无关,提出了也不会有一毛钱的好处,并没有和他吵,如果不是觉得对方的态度问题,是不会这么说的。
提出解决方案也不属于对他的工作过多干涉。后面说了既然讲专业性,那么我说的应该蛮客观的,什么危害都讲了,别人一句登陆后才能获取怎么搞?。。当场给绕过打脸么?。 |
|
68
kulove OP @xiaozi0906 重视程度这个不是一朝一夕形成的,在我看来 get shell 的漏洞就是核心问题,解决这个安全就提升几个等级了。。
|
 |
69
wupher 2019-01-29 10:16:13 +08:00
1. 匿名发到 github 上
2. 转发至公司的开发大群里面 |
 |
70
183shl 2019-01-29 10:19:21 +08:00 via Android
刚来公司,已经发现很多系统存在的漏洞了,现在写的这个项目也有越权,但是刚来还是个实习,说了也不重视,的确非自身利益说多了还得罪人,项目用户量蛮大的,还有各种企业用户。
|
 |
71
houzhimeng 2019-01-29 10:24:36 +08:00
不对吧,公司应该报警 抓捕你这发现漏洞的人啊?
|
 |
72
TheWalkingDead 2019-01-29 10:25:13 +08:00
楼主绝对情智双低。
活了大半辈子,从来没见过情商低到跟别人说“你什么态度”这种话的人。 |
|
73
xiaozi0906 2019-01-29 10:27:46 +08:00
@kulove 拿几个危害严重的漏洞作为案例,试图帮助公司去建立一个项目安全测试的流程,也是一个发挥你才能的一个机会。
在我看来,这就是一个后台任意文件上传,很多新系统都可能遇到,可以站在程序员的角度帮助他们一起解决。 你提出的想法,在程序员那里更多的会理解是要求,特别是变更代码量多,会造成他们的压力。 可以尝试探讨一下,代码是怎么写的,然后提出你的想法,可能这样写会更安全一些。 |
|
74
kulove OP @TheWalkingDead 这句话说错了我认,没办法,说出去的话泼出去的水。
|
 |
75
lizhenda 2019-01-29 10:32:52 +08:00
说楼主情商低的我同意,lz 自己也没反驳,那些说智商的低我的就笑了,在这里找优越感?别人是白帽子哎,嘲讽别人带点脑子呀
|
|
76
lizhenda 2019-01-29 10:36:28 +08:00
对于那个同事,俗话说别去叫醒一个装睡的人,你提醒了已经仁义至尽,还去帮忙想解决办法就有点过于热心了,这种一般人自负或者嫌麻烦的人是不喜的。所以第一时间察觉了对方对待这件事的态度,那就适可而止,看清了对方对技术和产品是个什么态度,自己心里明了了,以后就知道该怎么打交道了,道不同不相为谋。
|
|
77
ryd994 2019-01-29 10:36:29 +08:00 via Android 1
@kulove 你不是他领导,就没有权力干涉,也没有权力评价他的工作质量。这是他领导的工作。他工作有什么问题当然向他领导反映,打狗还要看主人呢。
真的不爽的话,复现一次,留下记录。邮件发给他,抄送自己和他双方领导。事先口头和领导通个气。他领导自然会治他,他领导不治他你领导就能治他领导。 他再不爽,也得表面上谢谢你。事后耍阴的那也没办法了,谁叫你非要去出这个头结仇呢? 如果谁都不管,那你就更不用操心了。有书面存档的事情,出了事活该他的。 |
|
78
kulove OP @xiaozi0906 有的,曾经拿系统做了安全测试,列出了几个严重漏洞案例以及危害。然而并没有人在意。
|
 |
79
William13 2019-01-29 10:38:45 +08:00
头像是 wow ?
|
 |
83
DANG 2019-01-29 11:01:44 +08:00
老哥如果你是给人家打工的,就要认清自己打工者的身份。工作其实就是一个获取最大利益的过程,有的事其实同事们都知道是咋回事,但是只要他们自己不说不做,就不会担责任。如果你有实权,那就直接去组织解决;如果没有实权,那希望你可以上报给领导,并且说明严重性以及影响,并依据领导的指示行动。对于同事,你只需要抛出问题,既然你没有权力去增加同事的工作量,那就尽量不要体现主人翁意识,否则你会对其他人带来很大的困扰。
|
|
85
kulove OP 1
@bk201 可以先看看这个:知道创宇研发技能表 v3.1 http://blog.knownsec.com/Knownsec_RD_Checklist/v3.1.html#
|
 |
86
UxCZbWShjEsL 2019-01-29 11:05:45 +08:00 via iPhone
我都是找测试和产品去和开发讲的,大部分问题他们都是知道的,不乐意改
|
 |
87
Sevenskey 2019-01-29 11:08:33 +08:00
不明白为什么楼里有人攻击楼主智商低,我也是活了小半辈子从来没见过莫名其妙就攻击别人智商低的人。
|
|
88
kulove OP @0myun 还有一点就是白帽子在国内还属于灰色边缘行业,参考世纪佳缘,有风险的。
而且这种公司内部的漏洞,发出去也不合适。以后不提就好了。 |
 |
89
httplife 2019-01-29 11:14:34 +08:00
为楼主行为点赞.
人与人之间的差距, 某些程度上来说, 取决于态度. |
 |
90
jssyxzy 2019-01-29 11:14:37 +08:00
在公司就要遵守一定的程序和规范,不然就乱了。
你可以和他沟通,沟通不了可以抄送他上级; 甚至严重的漏洞可以 cc 各个大领导。 但是你没有必要去和他争,甚至指责他。 |
|
91
kulove OP @DANG 这些大道理都懂,但是呢,像这种漏洞啊,应该是一个工程师最基本的职业素养吧?
这种东西考虑不到,那么是不是不合格呢?如果都知道却不修改,那肯定是不合格的。 事关那么多人的隐私泄露我又怎么可以当做没看到呢?况且啊,这不只是隐私泄露,对于互联网产品而言,往大了说是可以导致公司倒闭的。 |
 |
94
tutusolo 2019-01-29 11:52:05 +08:00 2
@kulove 合不合格你也评判不了, 这不是你开的公司, 要认清自己所处的位置, 发现了 bug 就得改? bug 也有优先级, 也要有排期, 也要安排人手去干. 这些不还是得他们干, 再者说, 他出了 bug, 周报月报怎么搞, 绩效怎么算. 你这变相的是侵犯别人的利益, 很多很多公司都有安全问题, 小公司 以业务发展为主, 哪里来的竞争对手搞他. 大公司有自己的安全组, 安全问题是他们的事情 跟你八竿子打不着的事情.
反正听意思感觉你像是刚刚毕业的菜鸟, 对什么都抱不平,职场老油条都是守住自己一亩三分地, 事不关己高高挂起 |
|
95
hellowes 2019-01-29 11:58:08 +08:00
#94 表示认同
其实我觉得小公司不可能所有事情都特别理想,除非有无尽的时间和钱 |
|
96
kulove OP |
 |
97
southsala 2019-01-29 11:58:19 +08:00
失败的沟通,俩人都比较暴躁,
|
|
98
tutusolo 2019-01-29 12:09:27 +08:00
@kulove
git shell 我应该比你懂, 在十年前我就知道了 危害? 那请问为何到现在都没暴露出来, 如果暴露出来了, 公司领导层不可能不重视,不可能还任由 bug 存在 照这样说就是还没爆料出来, 那么,危害再大有什么用??? 你不要跟我说什么潜在危害, 潜在的东西多了去了, 这个东西一定就是他搞出来的?? 还你什么态度, 换做是我 不把你揍的鼻青脸肿已经对的起你了 我并不知道你们公司的体量有多大 我说的是一般的小公司 很少有小公司被搞 看清楚字眼再来回复 我觉得你情商真的很低, 你做人的底线侵犯了我的利益, 没对你拳打脚踢已经够对的起你了 你可以坚守你的底线 但是前提不要去侵犯我的利益 |
 |
99
reself 2019-01-29 12:16:23 +08:00 via Android
楼主值得赞扬,但说话的方式需要改进。说话是一门艺术,是很重要的,你自己想表达的和别人接收到的一定是有偏差的,偏差大小根据不同的表达方式而不同。
"我的意思是对用户隐私的态度,而他却理解成了说话的语气以及方式",这不和我们自己都讨厌的"我是你妈我是为你好哪怕我语气不好你也得听我的"一样了吗? 至于安全,看看乌云的下场。想做白帽子是不行了,以后还是闷声发大财吧。 |
Select Language