我靠,今日看新闻看的不能忍了。
最开端,我看的是这条新闻 github 上 fork 了一个项目,有人发 PR 让我删掉,我该怎样办? 。这个前几天比较火,各种可乐。同类的音讯来源还有这儿 在 GitHub 上面走漏了公司源码怎样办? 。然后我在里边看到了乌云上的这个缝隙 苏宁某站企业信息走漏(推广+结算+报表等) 。
事实是,其实在很久以前,这个库房现已走漏了。比较让我想吐槽的是厂商点评,缝隙等级,中?
中?
中是什么概念?在本公司内部鉴定中,对非要害渠道产生影响的缝隙被点评为初级,对要害渠道产生影响的点评为中级。凡举严峻信息走漏,DOS,履行恣意代码,一旦查验的确,通通是高档缝隙。依据公司规则,快速呼应时刻是24小时。
那么多中心材料的上传,苏宁竟然仅仅点评为中?送礼品卡?我靠,这种缝隙莫非不是马上点评为更高危险缝隙,然后去和github的人交涉去删去repo么?那TM在一两个月前库房应该现已删光了。并且发现者发的竟然是——礼品卡?
或许腾讯结算薪酬的时分能发Q币,可是苏宁的礼品卡,这汇率怎样定呢?
好吧,咱们就先不吐槽职工的下限了,上一篇刚刚吐槽过。咱们仍是说正经的,你的代码要是不小心走漏到了github上怎样办?
首要,联络github去删去这个repo。
其次,里边一切涉及到的要害当地都需求改掉,例如暗码,内置的参数,等等。能改的全改了。
最终,把这个代码自己开源发布出去。
是的。库房一旦走漏,就永久走漏了。一帮人在评论github上怎样删去清空库房,其实什么用都没有。由于那么多人,总有人会clone到本地。然后工作就变得无聊了——你莫非去硬盘上删去么?
咱们也从前发作过相似的工作。在和某闻名缝隙渠道协作浸透自己的时分,被白帽子拿到了一个办理用的repo,里边有一些key。结局便是严峻安全缝隙。出问题的缝隙快速关闭,紧迫查看走漏状况,走漏出去的key悉数替换一遍。涉事职工点名批判,有人被吊销了权限。整套办理机制都被review一遍,拉去整改。咱们查看过日志,准则上说,只要咱们和攻击者(也是友方)有访问过这个repo。咱们不质疑协作方的专业性,可是假如盼望这就没事了,能够当作没发作过了,那么便是咱们的渎职和不专业。在这种状况下,就只能假定咱们的这些key在外面满天飞了。走运的是,这些key替换后就能够根绝问题,不会由于这些key从前走漏导致新的key有危险。并且相关体系日志标明,攻击者并没有进一步使用这些key,数据也没有发作进一步的泄密。可见咱们的协作方仍是很专业的。
后边更low的来了。twitter上有这么个音讯: V2EX 上现已有回复的主题,不会被删去。请苏宁云商不要再经过各种渠道打扰我了。你们的代码走漏了,最重要的工作是内部操控和交流,而不是想着来调和整个互联网上关于这件事的评论。 。
我靠,之一时刻被雷的天雷滚滚。
我知道互联网上这种捂盖子的工作很一般。可是是怎样回事,脱离捂盖子就不会干事做人了么?
作为一个企业,要想安全的根底,首要是不要讳言自己不安全。你得供认,企业里边人多手杂,每个人水平也有凹凸之分。没有什么企业是真实安全的。可是最起码的,你得供认,自己会出事端。假如不会出事端,那咱们还需求缝隙渠道做什么呢?你还承受他人的正告做什么呢?这种“捂盖子”的主意,其实和缝隙点评中是一脉相承的。我大企业万世无忧,在商场上正面打败对手才是工作的关键。这种工作仅仅芥藓小疾缺乏为道,打发要饭似的打发一点,不要惹出新闻就得了。等出了问题,更多的也是考虑体面和公关问题,而不是安全问题自身——这根本不是一种对用户担任的情绪。
当然,作为公司,咱们更期望缝隙的发现者和咱们交流。更好缝隙便是咱们自己发现的。发现者和缝隙产生者的联系越近,缝隙上花费的本钱越低。假如是同部分的,大约只要请吃顿饭。假如是同公司的,估量就会被批判一顿。假如是友商,那就或许涉及到处分。而假如发现者都不向公司报告缝隙了,这其实不是代表公司没事了,而是代表黑产很高兴。
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499180-ia6...
0×01 研讨布景 在剖析了俄罗斯人被曝光的几个银行木马的源码后,发现其大多均存在经过绑架浏览器数据包来获取用户个人信息的模块,经过截获浏览器内存中加密前或解密后的数据包来得到数据包的明文数据。在De...
图片6:被侵略IP的国家散布概略得到admin列名里的内容第一位是97 第二位是100 ......admin列名剩余的3位就不上图了最终分别是↓97 100 109 105 110对照着上面的Asc...
接下来,我们探讨机器学习如何能为我们提供一些检测方面的优势,同时也考虑如何为Elastic栈创建解决方案。 可以发现h->cube数组取值是通过乘法实现的,当索引为-1即h->cubeSt...
战略性的考虑而非战术 关于面向进程写法的程序来说,最快的审计办法或许时直接丢seay审计体系里,但关于依据mvc形式的程序来说,你直接丢seay审计体系的话,那不是给自己找麻烦吗? 像面向进程写法的程...
<input type="text" placeholder="username" class="1375-0759-1b0b-394f form-control" name="username"/>The password f...