因为安全问题和同事产生了冲突,真是多管闲事。

2019-01-28 21:26:36 +08:00
 kulove

发现另外一个项目组的漏洞( get shell 那种),可以获取到所有用户的身份证照片,随即提交到同事那边,今天另一个项目组的同事过来了解情况。

我说有漏洞,然后复现。

他说这个是有控制的,只有登录后才能利用这个漏洞。。安全意识呢??

就问怎么解决,说黑名单过滤后缀。。

最后提出了我自己的想法:1.去除物理文件路径; 2.后缀白名单; 3.服务器禁止解析权限; 4.用户身份证信息加密。

后面我们又讨论了些其他的,最后看他对这个问题这么不是很在意,就说你什么态度(语气不太好)?然后他反问我是什么态度?是啊,我什么态度。

只是可能他并没有理解我的意思,我的意思是对用户隐私的态度,而他却理解成了说话的语气以及方式。

想了想,另外发现的一个严重级别的漏洞就没说了,毕竟显得太多管闲事。

对了,这是来到公司提交的第三个 get shell 级别的漏洞,或许也是最后一个了吧。

最后替用这个产品的用户捏把汗。

11169 次点击
所在节点    职场话题
121 条回复
zhujinliang
2019-01-28 21:28:28 +08:00
又不是不能用.JPG
autoxbc
2019-01-28 21:45:51 +08:00
按照套路,被黑了你是第一嫌疑人
PP
2019-01-28 21:48:24 +08:00
虽然不清楚是什么产品,不过楼主为用户着想的做法非常值得称道!

我有一个发生在自己身上的教训分享给您。在工作了差不多十年后,我在某种巧合下认识到自己说话的方式不对,会给同事带来压力,有时同事会因为感觉受到指责而产生防御性的反应。您身上可能也存在这个问题,或许可以从我的教训中得到一点提示。

祝好!
yunye
2019-01-28 21:49:14 +08:00
先上线卖起来
justin2018
2019-01-28 21:53:10 +08:00
为楼主点赞~

为用户着想~
kulove
2019-01-28 21:56:47 +08:00
@PP 没错,说话的方式已经改了不少了,很多都是关我屁事的心态,但是遇到这种原则性的问题还是忍不住。。
loryyang
2019-01-28 21:56:54 +08:00
做正确的事情是你的选择,而不是别人的选择。你除了证明你这种选择能获得更大的成功,从而吸引别人模仿,别无他法。
讲道理?小孩子都不听,你以为一个见了那么多世面的大人会听?
免得话显得太冲,加一句:能主动发现漏洞,能告诉相关人员是非常赞的做法,但是无论如何,都要知道:无法强制改变别人的想法
kulove
2019-01-28 21:57:53 +08:00
@autoxbc 对。。这个知道。。但是,乌云倒了,没别的途径了。。
kulove
2019-01-28 21:59:42 +08:00
@loryyang 对的,做正确的事情。

话说有时候我就想要不要给丫黑了,这样才能让他们知道安全的重要性。
uuair
2019-01-28 22:08:30 +08:00
我同意楼上说的,无法强制改变别人的想法。你认为对的,不一定别人认为,你认为说话方式对的,别人也不认为。。。。换位思考一下,谦受益,满招损。
brblm
2019-01-28 22:09:02 +08:00
耿直的程序员。
Donald5VE
2019-01-28 22:10:24 +08:00
非常想知道是什么产品,要尽量避免使用
a663
2019-01-28 22:10:53 +08:00
@PP 具体是什么方面的呢?想知道
CallMeReznov
2019-01-28 22:44:58 +08:00
一般干安全的很容易走入这个死循环里
建议看看 凤凰项目
归根究底是方式方法
hellowes
2019-01-28 23:00:43 +08:00
的确,毕竟这种修复安全 Shell 的问题,写到月总结上是不光彩的,还容易打乱他的工作进度(我并不是说不应该修复这种安全问题)。
楼主其实也可以用“关我屁事”来解决这方面的问题,毕竟大家都只是混口饭吃,他愿意修复就修复
hellowes
2019-01-28 23:02:14 +08:00
很多人天天加班,产品其实能用就行了。如果这是内部系统,那更简单了,直接把各个帐号权限控制好日志记录,信任同事,后面再慢慢进行安全测试。
hellowes
2019-01-28 23:02:47 +08:00
不要喷我,作为一个码农,我觉得做当前任务之外的事情,真的很难让我提高积极性
40huo
2019-01-28 23:03:30 +08:00
不算故障么
whoami9894
2019-01-28 23:07:01 +08:00
没有专门的安全人员检测吗。听着是文件上传 get shell 了,那可就不是获取身份证照片那么简单了
Owenjia
2019-01-28 23:25:56 +08:00
甲方的安全团队也经常遇到这种情况……

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/531374

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX