因为安全问题和同事产生了冲突,真是多管闲事。

2019-01-28 21:26:36 +08:00
 kulove

发现另外一个项目组的漏洞( get shell 那种),可以获取到所有用户的身份证照片,随即提交到同事那边,今天另一个项目组的同事过来了解情况。

我说有漏洞,然后复现。

他说这个是有控制的,只有登录后才能利用这个漏洞。。安全意识呢??

就问怎么解决,说黑名单过滤后缀。。

最后提出了我自己的想法:1.去除物理文件路径; 2.后缀白名单; 3.服务器禁止解析权限; 4.用户身份证信息加密。

后面我们又讨论了些其他的,最后看他对这个问题这么不是很在意,就说你什么态度(语气不太好)?然后他反问我是什么态度?是啊,我什么态度。

只是可能他并没有理解我的意思,我的意思是对用户隐私的态度,而他却理解成了说话的语气以及方式。

想了想,另外发现的一个严重级别的漏洞就没说了,毕竟显得太多管闲事。

对了,这是来到公司提交的第三个 get shell 级别的漏洞,或许也是最后一个了吧。

最后替用这个产品的用户捏把汗。

11170 次点击
所在节点    职场话题
121 条回复
guoer
2019-01-28 23:31:25 +08:00
这种漏洞直接汇报给大领导就可以了
jadec0der
2019-01-28 23:38:49 +08:00
既然他没有安全意识,以后就跟领导汇报好了
ETiV
2019-01-28 23:44:40 +08:00
LZ 你按照自己的态度说下去,他就懂这里的「你什么态度」是啥意思了

中文太博大精深了~~~
PP
2019-01-29 01:01:43 +08:00
@a663 抓重点。值得思考的部分我已经说出来了,其余部分不重要。
scnace
2019-01-29 01:20:20 +08:00
想知道什么产品 +1
ryd994
2019-01-29 03:29:50 +08:00
“你什么态度” 不能这样讲话。
工作沟通,少讲观点,多讲事实。
“这个漏洞如果不是我而是是外人发现,后果很严重啊。甚至可能已经有人在利用了。”
你没有以为替他着急上火。他不急拉倒,报给领导。你提醒过,这就是同事义务尽到了。
imn1
2019-01-29 03:43:17 +08:00
“你什么态度”
这年头,除了对着客服,对谁都不敢说这话
smallc2009
2019-01-29 05:50:47 +08:00
这年头同事之间还居然用“你什么态度”~~你又不是他领导
nmsl
2019-01-29 06:12:32 +08:00
抄送领导
kulove
2019-01-29 07:45:56 +08:00
@ryd994
@imn1 当然,我承认我说话有问题(应该说对用户什么态度),但是对于服务用户的产品(不是内部产品),有那么严重的安全问题,很难心平气和...
kulove
2019-01-29 07:49:03 +08:00
@ryd994 get shell 这种还用说什么危害不成。。
删库什么的还不分分钟,或者内网渗透一波,把其他服务器也攻陷删掉。
而且啊,这么多用户身份证信息,对黑产来说应该是个不小的诱惑。
kulove
2019-01-29 07:50:49 +08:00
@hellowes 那要看什么问题,很多小逻辑问题,xss,csrf 之类的我都不会说的,但如果是 get shell,sql 注入这种,那么真的想问职业素养在哪里??
Foxkeh
2019-01-29 07:52:35 +08:00
失败的沟通
duan602728596
2019-01-29 07:52:53 +08:00
啥也不想说了,这就是干活没有脑子
kulove
2019-01-29 07:55:17 +08:00
@hellowes 对了,虽说这个 shell 是登陆后才能获取到,但是我有其他的方法可以绕过,日志又如何查到呢?
再者说,如果要搞破坏,库都拖完了有什么用?还有多重代理怎么查?谁会给查?
xiaohuamao
2019-01-29 07:55:19 +08:00
有事说事,就是领导,也不能随便用你什么态度压人
kulove
2019-01-29 08:02:35 +08:00
@xiaohuamao 注意审题,我这里的态度和他理解的态度并不一样,当然,太激动导致说话有问题,我认。
如果不涉及到敏感信息,利用面不是那么广,关我屁事呢?

噢对,提这个问题还有一点就是怕最后运维同事一起背锅,至于说的另一个漏洞就是开发的事了,所以那个就真的是关我屁事了。
hellowes
2019-01-29 08:26:24 +08:00
@kulove 那估计你们后端的技术架构有问题,这年头不是直接传 sql,用低版本几年前的类库,很少有这种情况。不过我也觉得楼上说的对,不要说 你什么态度,毕竟听了让人厌烦,而且对你也没有什么受益
hellowes
2019-01-29 08:27:40 +08:00
@kulove 话说你是测试吗?还是程序员?如果是测试,就要狠狠 D 他一顿
kulove
2019-01-29 08:38:02 +08:00
@hellowes 文件上传 get shell,不是测试,老实说啊,我脾气一直挺好的,但是..你能体会到对用户隐私泄露解决方案的那种态度么..

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/531374

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX