发现另外一个项目组的漏洞( get shell 那种),可以获取到所有用户的身份证照片,随即提交到同事那边,今天另一个项目组的同事过来了解情况。
我说有漏洞,然后复现。
他说这个是有控制的,只有登录后才能利用这个漏洞。。安全意识呢??
就问怎么解决,说黑名单过滤后缀。。
最后提出了我自己的想法:1.去除物理文件路径; 2.后缀白名单; 3.服务器禁止解析权限; 4.用户身份证信息加密。
后面我们又讨论了些其他的,最后看他对这个问题这么不是很在意,就说你什么态度(语气不太好)?然后他反问我是什么态度?是啊,我什么态度。
只是可能他并没有理解我的意思,我的意思是对用户隐私的态度,而他却理解成了说话的语气以及方式。
想了想,另外发现的一个严重级别的漏洞就没说了,毕竟显得太多管闲事。
对了,这是来到公司提交的第三个 get shell 级别的漏洞,或许也是最后一个了吧。
最后替用这个产品的用户捏把汗。
101
iyaozhen 2019-01-29 12:22:06 +08:00 via Android 1
如果公司没有安全意识,这个人也没有,最好还是不要和同事说这些。
因为没在一个层面,他理解不了你说的。 建议还是换个公司 @tutusolo 比如这位,大家观念有差距,如果要共事就需要求同存异了。 1. 安全这个事情还是要公司整体的政策,安全问题是最高优先级,限期修复 2. 大公司安全问题也不都是安全组的事,具体写代码的还是一线工程师,修复也是你自己修复,安全组能提供支持 3. 最后才是工程师自己的安全意识了,不过也要看公司的文化了,顾不鼓励当责心态了 |
102
wangxiaoaer 2019-01-29 12:24:40 +08:00 via Android 2
楼主,你是个好人,只是情商低而已,没什么大不了的。
|
103
kulove OP @wangxiaoaer 应该是这件事的说话方式显得情商低- -
|
104
learnshare 2019-01-29 12:32:48 +08:00
这种问题除非公司严格要求,单独要求某些人是没用的,能用就行
|
105
kulove OP |
106
nicevar 2019-01-29 13:19:30 +08:00
@tutusolo 说小公司很少被搞就胡扯了,没发现不代表没被搞,你现在就可以去搜索 webshell 的一些关键字,你会发现一大堆小公司,那些
马放在里面都是养了好几年的,你不信再看一下那些僵尸机器 ip,阿里 /腾讯云一大片的,反查过去都是些小公司的, 更离谱的是现在都能找到不少小公司的马都是从 04 年左右放上去的,养了十几年的。 |
107
canxden 2019-01-29 15:41:06 +08:00
尽人事, 听天命.
|
108
wu1990 2019-01-29 15:53:37 +08:00
和上级说
|
109
keysona 2019-01-29 16:20:24 +08:00
和上级提出来,上级也觉得不是问题的话就 pass 吧。
就我自己的情况,会把一些有安全隐患的列出来,要不要修复就看公司意见。 到时出事了,我不背锅。 |
110
libook 2019-01-29 16:24:47 +08:00
已 Block 那位键盘侠。。。
私以为权利和义务是分开的,发现问题即时通知相关负责人员,尽了应尽的义务,这是值得鼓励的的事情。 对方负责人有决定是否处理的自由,不越俎代庖,以示尊重。 一方面仁至义尽即可,另一方面明哲保身。 但如果自己和公司利益绑定,如果对方选择不处理,还是找对方领导推进一下事情的解决吧,总比出险了自己跟着遭殃要好。 还记得曾经全球第一大的赛门铁克 CA,因为签发不合规的信息安全问题导致一年内直接死翘翘。 |
111
kulove OP @libook 对的,一提起来职场,很多人会说:管好自己吧,别没事找事;和你有什么关系;小公司的漏洞谁会看得上呢;一看你就是刚入职场的小白,一些老油条只会在乎自己的利益。等等言论。
看到这么多,真不知道是我三观有问题还是他们有问题呢? |
112
kulove OP @keysona 现在是跟上级提出来的,然后跟另一个项目组的同事复现以及讨论解决方案。
除了说的一句话语气有问题外(转身走的时候想说语气有问题见谅什么的,后来想了想就算了),并不觉得这么做错在哪里。 |
113
saulshao 2019-01-29 17:21:57 +08:00
通常说的专业精神,指的就是楼主这样的。
这种情况下,我认为不需要考虑对方的感受,如果是一个有头脑的人,吵完架最终自己也会明白的。 虽然我现在面对这种问题已经不再吵架了,就是直接向上汇报,如果整个公司都没有一个明白人,那就赶紧收拾收拾滚蛋。 |
114
MOONYANYI 2019-01-29 19:05:12 +08:00
作为开发,项目就是成绩,出了问题就是责任,楼主提出了隐患并且提供了可解决思路,是个好同事.他可能是觉得自己的代码写的有隐患被人当众说出来,心里不好受.明显做不到公事公办.
|
115
janhu9527 2019-01-29 19:29:03 +08:00
@lizhenda 其实这就是所谓的中国式情商,说白了就是:事不关己高高挂起==情商高,老油条==情商高,见仁见智吧,我倒是认为动不动拿情商说事的人是真“情商低”。
|
116
kulove OP @MOONYANYI 就像上面有个人说的,如果我提出了问题就要打我一顿,因为我给他添了麻烦,侵犯了他的利益。。而且还觉得亡羊补牢才好。
好像还有点自大,十年前知道有什么用呢。 |
117
Eugene1024 2019-01-30 09:11:12 +08:00
对牛弹琴
|
118
Ryanwang 2019-01-30 15:28:50 +08:00
和老油条无关。有时候是周围的文化氛围决定的,我也经历过类似的事情,好心提了一些建议,不被采纳,还被误解。当面被人说“你行你来做”,背后说“知识面比你广”(潜台词是我在炫耀自己懂的比他多)。你是出于好心,但是有相当多的一些人未必是这么想。无论你是怎么想的,首先是要保护好自己。和直接负责人无法沟通,可以和领导私下沟通下。但是,当下的环境,很可能被误解为打小报告。那个对我说“你行你来做”的哥们,我是再也没有当面给出他任何意见和建议。当然,这个哥们自己是很喜欢到处挑其他人毛病说出来的人。但是,他是再也得不到来自我的建议和看法了。从大的方面说,项目和公司因为这些缺陷可能受到损失,但问题的根源是文化氛围。
|
119
Ryanwang 2019-01-30 15:41:26 +08:00
还有,能看出存在的问题,本身就是有知识经验的积累。主动提出来了,其实是无私的表现了。也许是语气方式有需要提高的地方,要反思下,是否需要改进。另外,我觉得除非是环境氛围允许,或者是领导要求你提出看法,否则没有必要说出你的看法。你自己的知识经验也是你花费时间和精力累积起来的,这些知识经验是有代价的。是否值得说出来?这个要自己考虑下。
|
120
jssyxzy 2019-01-30 18:16:40 +08:00
|
121
solaro 2019-01-31 13:51:50 +08:00
关你屁事,关我屁事。
|