因为安全问题和同事产生了冲突,真是多管闲事。

2019-01-28 21:26:36 +08:00
 kulove

发现另外一个项目组的漏洞( get shell 那种),可以获取到所有用户的身份证照片,随即提交到同事那边,今天另一个项目组的同事过来了解情况。

我说有漏洞,然后复现。

他说这个是有控制的,只有登录后才能利用这个漏洞。。安全意识呢??

就问怎么解决,说黑名单过滤后缀。。

最后提出了我自己的想法:1.去除物理文件路径; 2.后缀白名单; 3.服务器禁止解析权限; 4.用户身份证信息加密。

后面我们又讨论了些其他的,最后看他对这个问题这么不是很在意,就说你什么态度(语气不太好)?然后他反问我是什么态度?是啊,我什么态度。

只是可能他并没有理解我的意思,我的意思是对用户隐私的态度,而他却理解成了说话的语气以及方式。

想了想,另外发现的一个严重级别的漏洞就没说了,毕竟显得太多管闲事。

对了,这是来到公司提交的第三个 get shell 级别的漏洞,或许也是最后一个了吧。

最后替用这个产品的用户捏把汗。

10970 次点击
所在节点    职场话题
121 条回复
kulove
2019-01-29 10:41:42 +08:00
@William13 没记错的话应该是看火人的截图。
bk201
2019-01-29 10:59:51 +08:00
@kulove 歪个楼,怎么入门白帽子- -
DANG
2019-01-29 11:01:44 +08:00
老哥如果你是给人家打工的,就要认清自己打工者的身份。工作其实就是一个获取最大利益的过程,有的事其实同事们都知道是咋回事,但是只要他们自己不说不做,就不会担责任。如果你有实权,那就直接去组织解决;如果没有实权,那希望你可以上报给领导,并且说明严重性以及影响,并依据领导的指示行动。对于同事,你只需要抛出问题,既然你没有权力去增加同事的工作量,那就尽量不要体现主人翁意识,否则你会对其他人带来很大的困扰。
0myun
2019-01-29 11:05:03 +08:00
@kulove #8 不是还有补天 漏洞盒子之类的么
kulove
2019-01-29 11:05:15 +08:00
@bk201 可以先看看这个:知道创宇研发技能表 v3.1 http://blog.knownsec.com/Knownsec_RD_Checklist/v3.1.html#
UxCZbWShjEsL
2019-01-29 11:05:45 +08:00
我都是找测试和产品去和开发讲的,大部分问题他们都是知道的,不乐意改
Sevenskey
2019-01-29 11:08:33 +08:00
不明白为什么楼里有人攻击楼主智商低,我也是活了小半辈子从来没见过莫名其妙就攻击别人智商低的人。
kulove
2019-01-29 11:08:34 +08:00
@0myun 还有一点就是白帽子在国内还属于灰色边缘行业,参考世纪佳缘,有风险的。
而且这种公司内部的漏洞,发出去也不合适。以后不提就好了。
httplife
2019-01-29 11:14:34 +08:00
为楼主行为点赞.
人与人之间的差距, 某些程度上来说, 取决于态度.
jssyxzy
2019-01-29 11:14:37 +08:00
在公司就要遵守一定的程序和规范,不然就乱了。
你可以和他沟通,沟通不了可以抄送他上级;
甚至严重的漏洞可以 cc 各个大领导。

但是你没有必要去和他争,甚至指责他。
kulove
2019-01-29 11:20:24 +08:00
@DANG 这些大道理都懂,但是呢,像这种漏洞啊,应该是一个工程师最基本的职业素养吧?
这种东西考虑不到,那么是不是不合格呢?如果都知道却不修改,那肯定是不合格的。
事关那么多人的隐私泄露我又怎么可以当做没看到呢?况且啊,这不只是隐私泄露,对于互联网产品而言,往大了说是可以导致公司倒闭的。
DANG
2019-01-29 11:28:13 +08:00
@kulove 所以你一定要获得领导的授权,引起领导的重视,只有把这种责任感转化为上司的指令,才能顺利的解决这个问题
kulove
2019-01-29 11:30:48 +08:00
@DANG sorry,看了下上面没提到,是先跟领导说明了情况的,过后另一个项目组的同事才来了解情况。
tutusolo
2019-01-29 11:52:05 +08:00
@kulove 合不合格你也评判不了, 这不是你开的公司, 要认清自己所处的位置, 发现了 bug 就得改? bug 也有优先级, 也要有排期, 也要安排人手去干. 这些不还是得他们干, 再者说, 他出了 bug, 周报月报怎么搞, 绩效怎么算. 你这变相的是侵犯别人的利益, 很多很多公司都有安全问题, 小公司 以业务发展为主, 哪里来的竞争对手搞他. 大公司有自己的安全组, 安全问题是他们的事情 跟你八竿子打不着的事情.

反正听意思感觉你像是刚刚毕业的菜鸟, 对什么都抱不平,职场老油条都是守住自己一亩三分地, 事不关己高高挂起
hellowes
2019-01-29 11:58:08 +08:00
#94 表示认同
其实我觉得小公司不可能所有事情都特别理想,除非有无尽的时间和钱
kulove
2019-01-29 11:58:08 +08:00
@tutusolo 不好意思,请先去了解下 get shell 的危害,再来说是否需要排优先级。
还哪来的公司来搞他。。真不知道你是怎么说出这番话的。
还有做人呐,总是要有点坚守的,看来你并没有。
southsala
2019-01-29 11:58:19 +08:00
失败的沟通,俩人都比较暴躁,
tutusolo
2019-01-29 12:09:27 +08:00
@kulove

git shell 我应该比你懂, 在十年前我就知道了

危害? 那请问为何到现在都没暴露出来, 如果暴露出来了, 公司领导层不可能不重视,不可能还任由 bug 存在

照这样说就是还没爆料出来, 那么,危害再大有什么用??? 你不要跟我说什么潜在危害, 潜在的东西多了去了, 这个东西一定就是他搞出来的?? 还你什么态度, 换做是我 不把你揍的鼻青脸肿已经对的起你了

我并不知道你们公司的体量有多大 我说的是一般的小公司 很少有小公司被搞 看清楚字眼再来回复

我觉得你情商真的很低, 你做人的底线侵犯了我的利益, 没对你拳打脚踢已经够对的起你了

你可以坚守你的底线 但是前提不要去侵犯我的利益
reself
2019-01-29 12:16:23 +08:00
楼主值得赞扬,但说话的方式需要改进。说话是一门艺术,是很重要的,你自己想表达的和别人接收到的一定是有偏差的,偏差大小根据不同的表达方式而不同。
"我的意思是对用户隐私的态度,而他却理解成了说话的语气以及方式",这不和我们自己都讨厌的"我是你妈我是为你好哪怕我语气不好你也得听我的"一样了吗?
至于安全,看看乌云的下场。想做白帽子是不行了,以后还是闷声发大财吧。
kulove
2019-01-29 12:17:29 +08:00
@tutusolo 首先,我是作为用户使用过程中发现的,既然是我发现把这个问题暴露出去没什么不妥吧?
其次,你哪只眼睛看到我说这个漏洞是他搞出来的了??

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/531374

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX