V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
kulove
V2EX  ›  职场话题

因为安全问题和同事产生了冲突,真是多管闲事。

  •  
  •   kulove · 2019-01-28 21:26:36 +08:00 · 11108 次点击
    这是一个创建于 2124 天前的主题,其中的信息可能已经有所发展或是发生改变。

    发现另外一个项目组的漏洞( get shell 那种),可以获取到所有用户的身份证照片,随即提交到同事那边,今天另一个项目组的同事过来了解情况。

    我说有漏洞,然后复现。

    他说这个是有控制的,只有登录后才能利用这个漏洞。。安全意识呢??

    就问怎么解决,说黑名单过滤后缀。。

    最后提出了我自己的想法:1.去除物理文件路径; 2.后缀白名单; 3.服务器禁止解析权限; 4.用户身份证信息加密。

    后面我们又讨论了些其他的,最后看他对这个问题这么不是很在意,就说你什么态度(语气不太好)?然后他反问我是什么态度?是啊,我什么态度。

    只是可能他并没有理解我的意思,我的意思是对用户隐私的态度,而他却理解成了说话的语气以及方式。

    想了想,另外发现的一个严重级别的漏洞就没说了,毕竟显得太多管闲事。

    对了,这是来到公司提交的第三个 get shell 级别的漏洞,或许也是最后一个了吧。

    最后替用这个产品的用户捏把汗。

    121 条回复    2019-01-31 13:51:50 +08:00
    1  2  
    zhujinliang
        1
    zhujinliang  
       2019-01-28 21:28:28 +08:00 via iPhone
    又不是不能用.JPG
    autoxbc
        2
    autoxbc  
       2019-01-28 21:45:51 +08:00
    按照套路,被黑了你是第一嫌疑人
    PP
        3
    PP  
       2019-01-28 21:48:24 +08:00 via iPad   ❤️ 49
    虽然不清楚是什么产品,不过楼主为用户着想的做法非常值得称道!

    我有一个发生在自己身上的教训分享给您。在工作了差不多十年后,我在某种巧合下认识到自己说话的方式不对,会给同事带来压力,有时同事会因为感觉受到指责而产生防御性的反应。您身上可能也存在这个问题,或许可以从我的教训中得到一点提示。

    祝好!
    yunye
        4
    yunye  
       2019-01-28 21:49:14 +08:00
    先上线卖起来
    justin2018
        5
    justin2018  
       2019-01-28 21:53:10 +08:00
    为楼主点赞~

    为用户着想~
    kulove
        6
    kulove  
    OP
       2019-01-28 21:56:47 +08:00 via Android
    @PP 没错,说话的方式已经改了不少了,很多都是关我屁事的心态,但是遇到这种原则性的问题还是忍不住。。
    loryyang
        7
    loryyang  
       2019-01-28 21:56:54 +08:00
    做正确的事情是你的选择,而不是别人的选择。你除了证明你这种选择能获得更大的成功,从而吸引别人模仿,别无他法。
    讲道理?小孩子都不听,你以为一个见了那么多世面的大人会听?
    免得话显得太冲,加一句:能主动发现漏洞,能告诉相关人员是非常赞的做法,但是无论如何,都要知道:无法强制改变别人的想法
    kulove
        8
    kulove  
    OP
       2019-01-28 21:57:53 +08:00 via Android
    @autoxbc 对。。这个知道。。但是,乌云倒了,没别的途径了。。
    kulove
        9
    kulove  
    OP
       2019-01-28 21:59:42 +08:00 via Android
    @loryyang 对的,做正确的事情。

    话说有时候我就想要不要给丫黑了,这样才能让他们知道安全的重要性。
    uuair
        10
    uuair  
       2019-01-28 22:08:30 +08:00
    我同意楼上说的,无法强制改变别人的想法。你认为对的,不一定别人认为,你认为说话方式对的,别人也不认为。。。。换位思考一下,谦受益,满招损。
    brblm
        11
    brblm  
       2019-01-28 22:09:02 +08:00 via Android
    耿直的程序员。
    Donald5VE
        12
    Donald5VE  
       2019-01-28 22:10:24 +08:00 via iPhone   ❤️ 2
    非常想知道是什么产品,要尽量避免使用
    a663
        13
    a663  
       2019-01-28 22:10:53 +08:00 via Android
    @PP 具体是什么方面的呢?想知道
    CallMeReznov
        14
    CallMeReznov  
       2019-01-28 22:44:58 +08:00
    一般干安全的很容易走入这个死循环里
    建议看看 凤凰项目
    归根究底是方式方法
    hellowes
        15
    hellowes  
       2019-01-28 23:00:43 +08:00
    的确,毕竟这种修复安全 Shell 的问题,写到月总结上是不光彩的,还容易打乱他的工作进度(我并不是说不应该修复这种安全问题)。
    楼主其实也可以用“关我屁事”来解决这方面的问题,毕竟大家都只是混口饭吃,他愿意修复就修复
    hellowes
        16
    hellowes  
       2019-01-28 23:02:14 +08:00
    很多人天天加班,产品其实能用就行了。如果这是内部系统,那更简单了,直接把各个帐号权限控制好日志记录,信任同事,后面再慢慢进行安全测试。
    hellowes
        17
    hellowes  
       2019-01-28 23:02:47 +08:00
    不要喷我,作为一个码农,我觉得做当前任务之外的事情,真的很难让我提高积极性
    40huo
        18
    40huo  
       2019-01-28 23:03:30 +08:00 via Android
    不算故障么
    whoami9894
        19
    whoami9894  
       2019-01-28 23:07:01 +08:00 via Android
    没有专门的安全人员检测吗。听着是文件上传 get shell 了,那可就不是获取身份证照片那么简单了
    Owenjia
        20
    Owenjia  
       2019-01-28 23:25:56 +08:00
    甲方的安全团队也经常遇到这种情况……
    guoer
        21
    guoer  
       2019-01-28 23:31:25 +08:00
    这种漏洞直接汇报给大领导就可以了
    jadec0der
        22
    jadec0der  
       2019-01-28 23:38:49 +08:00
    既然他没有安全意识,以后就跟领导汇报好了
    ETiV
        23
    ETiV  
       2019-01-28 23:44:40 +08:00
    LZ 你按照自己的态度说下去,他就懂这里的「你什么态度」是啥意思了

    中文太博大精深了~~~
    PP
        24
    PP  
       2019-01-29 01:01:43 +08:00 via iPad
    @a663 抓重点。值得思考的部分我已经说出来了,其余部分不重要。
    scnace
        25
    scnace  
       2019-01-29 01:20:20 +08:00 via Android
    想知道什么产品 +1
    ryd994
        26
    ryd994  
       2019-01-29 03:29:50 +08:00 via Android   ❤️ 2
    “你什么态度” 不能这样讲话。
    工作沟通,少讲观点,多讲事实。
    “这个漏洞如果不是我而是是外人发现,后果很严重啊。甚至可能已经有人在利用了。”
    你没有以为替他着急上火。他不急拉倒,报给领导。你提醒过,这就是同事义务尽到了。
    imn1
        27
    imn1  
       2019-01-29 03:43:17 +08:00
    “你什么态度”
    这年头,除了对着客服,对谁都不敢说这话
    smallc2009
        28
    smallc2009  
       2019-01-29 05:50:47 +08:00
    这年头同事之间还居然用“你什么态度”~~你又不是他领导
    nmsl
        29
    nmsl  
       2019-01-29 06:12:32 +08:00
    抄送领导
    kulove
        30
    kulove  
    OP
       2019-01-29 07:45:56 +08:00 via Android
    @ryd994
    @imn1 当然,我承认我说话有问题(应该说对用户什么态度),但是对于服务用户的产品(不是内部产品),有那么严重的安全问题,很难心平气和...
    kulove
        31
    kulove  
    OP
       2019-01-29 07:49:03 +08:00 via Android
    @ryd994 get shell 这种还用说什么危害不成。。
    删库什么的还不分分钟,或者内网渗透一波,把其他服务器也攻陷删掉。
    而且啊,这么多用户身份证信息,对黑产来说应该是个不小的诱惑。
    kulove
        32
    kulove  
    OP
       2019-01-29 07:50:49 +08:00 via Android
    @hellowes 那要看什么问题,很多小逻辑问题,xss,csrf 之类的我都不会说的,但如果是 get shell,sql 注入这种,那么真的想问职业素养在哪里??
    Foxkeh
        33
    Foxkeh  
       2019-01-29 07:52:35 +08:00 via iPhone
    失败的沟通
    duan602728596
        34
    duan602728596  
       2019-01-29 07:52:53 +08:00 via iPhone
    啥也不想说了,这就是干活没有脑子
    kulove
        35
    kulove  
    OP
       2019-01-29 07:55:17 +08:00 via Android
    @hellowes 对了,虽说这个 shell 是登陆后才能获取到,但是我有其他的方法可以绕过,日志又如何查到呢?
    再者说,如果要搞破坏,库都拖完了有什么用?还有多重代理怎么查?谁会给查?
    xiaohuamao
        36
    xiaohuamao  
       2019-01-29 07:55:19 +08:00 via iPhone
    有事说事,就是领导,也不能随便用你什么态度压人
    kulove
        37
    kulove  
    OP
       2019-01-29 08:02:35 +08:00 via Android
    @xiaohuamao 注意审题,我这里的态度和他理解的态度并不一样,当然,太激动导致说话有问题,我认。
    如果不涉及到敏感信息,利用面不是那么广,关我屁事呢?

    噢对,提这个问题还有一点就是怕最后运维同事一起背锅,至于说的另一个漏洞就是开发的事了,所以那个就真的是关我屁事了。
    hellowes
        38
    hellowes  
       2019-01-29 08:26:24 +08:00 via Android
    @kulove 那估计你们后端的技术架构有问题,这年头不是直接传 sql,用低版本几年前的类库,很少有这种情况。不过我也觉得楼上说的对,不要说 你什么态度,毕竟听了让人厌烦,而且对你也没有什么受益
    hellowes
        39
    hellowes  
       2019-01-29 08:27:40 +08:00 via Android
    @kulove 话说你是测试吗?还是程序员?如果是测试,就要狠狠 D 他一顿
    kulove
        40
    kulove  
    OP
       2019-01-29 08:38:02 +08:00 via Android
    @hellowes 文件上传 get shell,不是测试,老实说啊,我脾气一直挺好的,但是..你能体会到对用户隐私泄露解决方案的那种态度么..
    kulove
        41
    kulove  
    OP
       2019-01-29 08:44:16 +08:00 via Android
    @hellowes 就是那种不明白 get shell 带来的危害,然后又说只有登录后才能利用,言外之意不就是这个危害不是很大么?还有解决方案啊,黑名单后缀名不是治标不治本么。。
    当时真想给他一套组合拳,告诉他,我没有登陆账户也能 get shell。。
    aloyuu
        42
    aloyuu  
       2019-01-29 08:44:50 +08:00
    做法称赞

    你同事太渣.
    loveour
        43
    loveour  
       2019-01-29 09:02:18 +08:00
    所以为什么没能说清楚“什么态度”是什么意思?想法非常好,沟通技巧稍微提高下就更好了。不过无论如何,这种对用户信息不在意的态度非常不好。
    hellowes
        44
    hellowes  
       2019-01-29 09:07:43 +08:00
    @kulove 楼主对于产品非常负责任,也对用户负责。如果你们是创业公司,我觉得这种态度是很值得称赞的,但如果是普通的传统企业,有时候不必太上心,而且这也不是你的项目
    kulove
        45
    kulove  
    OP
       2019-01-29 09:07:51 +08:00 via Android
    @whoami9894 对的,危害非常大,并没有安全团队。
    但是这种文件上传 get shell 对于开发来说要有基本的避免意识吧。。
    guitarkitten
        46
    guitarkitten  
       2019-01-29 09:08:18 +08:00 via iPhone
    多管闲事
    munn
        47
    munn  
       2019-01-29 09:09:32 +08:00 via iPhone
    这种垃圾开发同事 就应该干死丫的
    kulove
        48
    kulove  
    OP
       2019-01-29 09:12:53 +08:00 via Android
    @guitarkitten 没错,所以后面的漏洞就不说了。

    有这个功夫不去找其他厂商的漏洞,还有奖励可以拿。
    37Y37
        49
    37Y37  
       2019-01-29 09:22:23 +08:00
    支持楼主,支持抄送领导。
    yzkcy
        50
    yzkcy  
       2019-01-29 09:25:03 +08:00
    漏洞提到 cnvd,顺便写上公司官网上的联系邮箱。
    c0878
        51
    c0878  
       2019-01-29 09:25:25 +08:00
    交给白帽子呀
    famez
        52
    famez  
       2019-01-29 09:26:11 +08:00
    做的很棒,超赞
    Martin9
        53
    Martin9  
       2019-01-29 09:28:19 +08:00
    楼主很负责,但沟通的时候最好避免反问句。
    我现在觉得反问句太具有侵略性了。
    kulove
        54
    kulove  
    OP
       2019-01-29 09:30:00 +08:00
    @c0878 我就是白帽子- -
    @yzkcy 有时间去看看,自从乌云关闭之后就没找到类似的了
    hosea
        55
    hosea  
       2019-01-29 09:30:53 +08:00
    支持楼主。。
    不过这种跨组沟通一般还是直接上级对上级好点。。
    我们有个项目因为网络安全组加了一个 WAF 之后。。很多连接都被阻挡了。。联系了对面同事扯皮了快一个月。。最后还是 Leader 出面跟对面 Leader 沟通才搞定。。
    zhazi
        56
    zhazi  
       2019-01-29 09:31:23 +08:00 via Android
    情智双低
    mmdsun
        57
    mmdsun  
       2019-01-29 09:31:56 +08:00 via Android
    发现问题是好的。只不过方式不对就会变成:刚来公司就给别人找茬??不要刚到公司给别人一下提很多 bug,安全漏洞。
    kulove
        58
    kulove  
    OP
       2019-01-29 09:32:23 +08:00
    @hosea @37Y37 有次问领导,能不能授权下安全渗透的权限,然后领导说不要乱搞。。
    所以。。
    kulove
        59
    kulove  
    OP
       2019-01-29 09:34:36 +08:00
    @zhazi 情商这个先不反驳,请问智商是怎么看出来的呢?
    mywaiting
        60
    mywaiting  
       2019-01-29 09:40:27 +08:00   ❤️ 2
    作为业余的安全人员,只能说这事情太常见了

    不过同事嘛,熟悉的就私下聊天提一下,不熟悉的就直接丢公司安全组(假如有的话)

    实话实说,安全这事情,多数的人,尤其是开发,觉得这根本不是事,与其跟其浪费心情,还不如不理不睬任其自生自灭好了,我几年前( 12 年)发现公司某系统的一个任意文件下载漏洞,刚刚去看了一下,还在.........

    Geek/Hacker 觉得这是 build a better world 的方式,但是很多人觉得这是利益相关,国人甚之

    见过太多这样的事情,感觉都麻木了

    发现有洞,冒险上报真是玩火的行为,反正非利益相关,爱怎么样就怎么样吧
    kulove
        61
    kulove  
    OP
       2019-01-29 09:41:22 +08:00
    @mmdsun 来公司几年了。

    @Martin9 确实,比如听明白了吗?可以换成我讲明白了吗? 哈哈哈
    mengzhuo
        62
    mengzhuo  
       2019-01-29 09:53:42 +08:00
    他不想解决的话就跟领导报一下就好了,不用质疑态度的。
    keikeizhang
        63
    keikeizhang  
       2019-01-29 09:57:53 +08:00
    虽然不清楚是什么产品,不过楼主为用户着想的做法非常值得称道!

    我有一个发生在自己身上的教训分享给您。在工作了差不多十年后,我在某种巧合下认识到自己说话的方式不对,会给同事带来压力,有时同事会因为感觉受到指责而产生防御性的反应。您身上可能也存在这个问题,或许可以从我的教训中得到一点提示。

    祝好!

    -----------------

    me too 引以为戒 可以好难改
    @PP
    ryd994
        64
    ryd994  
       2019-01-29 10:02:39 +08:00 via Android
    @kulove 你是要争个高下,还是要把事情办成?
    你觉得天经地义,别人不一定这么想。
    你和他吵,只会把他树到对立面上。本来可以办好的事情也办不成了。
    你们之间有根本性的矛盾么?大家都是打工的,都是在同一间公司打工。而且又不是直接的竞争关系。应该说没有不可调和的矛盾。能提醒是情分,不提醒直接上报是本分。
    但是无论如何你没有权力对他的工作过多干涉,他不是你的下属。就算是下属也最好不要,因为大家都是打工仔,下属不是奴隶。

    工作沟通讲究客观,不带个人感情,我觉得这是专业性的体现。

    在 oncall 中,这一点更加重要。生产环境出故障了,大家都很急,讲话顾不上礼貌。同时又涉及很多小组。说实话大家都想甩锅。但是如果全都在推卸责任打嘴炮,最终大家一起倒霉。说话能以客观事实为中心,那就算语气不好,别人也无话可说。高效地修复问题,这才是第一要务。
    jmc891205
        65
    jmc891205  
       2019-01-29 10:07:28 +08:00 via iPhone
    是你们公司制度的问题 没有为这种跨组的合作建立一套沟通机制
    xiaozi0906
        66
    xiaozi0906  
       2019-01-29 10:08:37 +08:00   ❤️ 1
    看得出来,贵公司安全并不太重视,如果是互联网公司,早晚得付出代价。
    发现问题,思考如何去解决问题,而不是问"你什么态度",遇到脾气冲一点的,是没有好处的,解决不了问题。
    可以把问题升级,反馈给项目经理,不行再把级别升上去。

    站在企业安全管理的角度,你挖几个漏洞而已,也解决不了核心问题,缺的是项目上线前的安全测试流程,缺的是对安全的重视程度。
    kulove
        67
    kulove  
    OP
       2019-01-29 10:10:33 +08:00
    @ryd994 这个与我利益无关,提出了也不会有一毛钱的好处,并没有和他吵,如果不是觉得对方的态度问题,是不会这么说的。
    提出解决方案也不属于对他的工作过多干涉。后面说了既然讲专业性,那么我说的应该蛮客观的,什么危害都讲了,别人一句登陆后才能获取怎么搞?。。当场给绕过打脸么?。
    kulove
        68
    kulove  
    OP
       2019-01-29 10:12:56 +08:00
    @xiaozi0906 重视程度这个不是一朝一夕形成的,在我看来 get shell 的漏洞就是核心问题,解决这个安全就提升几个等级了。。
    wupher
        69
    wupher  
       2019-01-29 10:16:13 +08:00
    1. 匿名发到 github 上
    2. 转发至公司的开发大群里面
    183shl
        70
    183shl  
       2019-01-29 10:19:21 +08:00 via Android
    刚来公司,已经发现很多系统存在的漏洞了,现在写的这个项目也有越权,但是刚来还是个实习,说了也不重视,的确非自身利益说多了还得罪人,项目用户量蛮大的,还有各种企业用户。
    houzhimeng
        71
    houzhimeng  
       2019-01-29 10:24:36 +08:00
    不对吧,公司应该报警 抓捕你这发现漏洞的人啊?
    TheWalkingDead
        72
    TheWalkingDead  
       2019-01-29 10:25:13 +08:00
    楼主绝对情智双低。
    活了大半辈子,从来没见过情商低到跟别人说“你什么态度”这种话的人。
    xiaozi0906
        73
    xiaozi0906  
       2019-01-29 10:27:46 +08:00
    @kulove 拿几个危害严重的漏洞作为案例,试图帮助公司去建立一个项目安全测试的流程,也是一个发挥你才能的一个机会。

    在我看来,这就是一个后台任意文件上传,很多新系统都可能遇到,可以站在程序员的角度帮助他们一起解决。
    你提出的想法,在程序员那里更多的会理解是要求,特别是变更代码量多,会造成他们的压力。
    可以尝试探讨一下,代码是怎么写的,然后提出你的想法,可能这样写会更安全一些。
    kulove
        74
    kulove  
    OP
       2019-01-29 10:31:51 +08:00
    @TheWalkingDead 这句话说错了我认,没办法,说出去的话泼出去的水。
    lizhenda
        75
    lizhenda  
       2019-01-29 10:32:52 +08:00
    说楼主情商低的我同意,lz 自己也没反驳,那些说智商的低我的就笑了,在这里找优越感?别人是白帽子哎,嘲讽别人带点脑子呀
    lizhenda
        76
    lizhenda  
       2019-01-29 10:36:28 +08:00
    对于那个同事,俗话说别去叫醒一个装睡的人,你提醒了已经仁义至尽,还去帮忙想解决办法就有点过于热心了,这种一般人自负或者嫌麻烦的人是不喜的。所以第一时间察觉了对方对待这件事的态度,那就适可而止,看清了对方对技术和产品是个什么态度,自己心里明了了,以后就知道该怎么打交道了,道不同不相为谋。
    ryd994
        77
    ryd994  
       2019-01-29 10:36:29 +08:00 via Android   ❤️ 1
    @kulove 你不是他领导,就没有权力干涉,也没有权力评价他的工作质量。这是他领导的工作。他工作有什么问题当然向他领导反映,打狗还要看主人呢。
    真的不爽的话,复现一次,留下记录。邮件发给他,抄送自己和他双方领导。事先口头和领导通个气。他领导自然会治他,他领导不治他你领导就能治他领导。
    他再不爽,也得表面上谢谢你。事后耍阴的那也没办法了,谁叫你非要去出这个头结仇呢?
    如果谁都不管,那你就更不用操心了。有书面存档的事情,出了事活该他的。
    kulove
        78
    kulove  
    OP
       2019-01-29 10:38:05 +08:00
    @xiaozi0906 有的,曾经拿系统做了安全测试,列出了几个严重漏洞案例以及危害。然而并没有人在意。
    William13
        79
    William13  
       2019-01-29 10:38:45 +08:00
    头像是 wow ?
    kulove
        80
    kulove  
    OP
       2019-01-29 10:41:05 +08:00
    @ryd994 这个..我们是在讨论解决方案啊..这不叫干涉吧...当然不会干涉别人的工作啊..
    kulove
        81
    kulove  
    OP
       2019-01-29 10:41:42 +08:00
    @William13 没记错的话应该是看火人的截图。
    bk201
        82
    bk201  
       2019-01-29 10:59:51 +08:00
    @kulove 歪个楼,怎么入门白帽子- -
    DANG
        83
    DANG  
       2019-01-29 11:01:44 +08:00
    老哥如果你是给人家打工的,就要认清自己打工者的身份。工作其实就是一个获取最大利益的过程,有的事其实同事们都知道是咋回事,但是只要他们自己不说不做,就不会担责任。如果你有实权,那就直接去组织解决;如果没有实权,那希望你可以上报给领导,并且说明严重性以及影响,并依据领导的指示行动。对于同事,你只需要抛出问题,既然你没有权力去增加同事的工作量,那就尽量不要体现主人翁意识,否则你会对其他人带来很大的困扰。
    0myun
        84
    0myun  
       2019-01-29 11:05:03 +08:00
    @kulove #8 不是还有补天 漏洞盒子之类的么
    kulove
        85
    kulove  
    OP
       2019-01-29 11:05:15 +08:00   ❤️ 1
    @bk201 可以先看看这个:知道创宇研发技能表 v3.1 http://blog.knownsec.com/Knownsec_RD_Checklist/v3.1.html#
    UxCZbWShjEsL
        86
    UxCZbWShjEsL  
       2019-01-29 11:05:45 +08:00 via iPhone
    我都是找测试和产品去和开发讲的,大部分问题他们都是知道的,不乐意改
    Sevenskey
        87
    Sevenskey  
       2019-01-29 11:08:33 +08:00
    不明白为什么楼里有人攻击楼主智商低,我也是活了小半辈子从来没见过莫名其妙就攻击别人智商低的人。
    kulove
        88
    kulove  
    OP
       2019-01-29 11:08:34 +08:00
    @0myun 还有一点就是白帽子在国内还属于灰色边缘行业,参考世纪佳缘,有风险的。
    而且这种公司内部的漏洞,发出去也不合适。以后不提就好了。
    httplife
        89
    httplife  
       2019-01-29 11:14:34 +08:00
    为楼主行为点赞.
    人与人之间的差距, 某些程度上来说, 取决于态度.
    jssyxzy
        90
    jssyxzy  
       2019-01-29 11:14:37 +08:00
    在公司就要遵守一定的程序和规范,不然就乱了。
    你可以和他沟通,沟通不了可以抄送他上级;
    甚至严重的漏洞可以 cc 各个大领导。

    但是你没有必要去和他争,甚至指责他。
    kulove
        91
    kulove  
    OP
       2019-01-29 11:20:24 +08:00
    @DANG 这些大道理都懂,但是呢,像这种漏洞啊,应该是一个工程师最基本的职业素养吧?
    这种东西考虑不到,那么是不是不合格呢?如果都知道却不修改,那肯定是不合格的。
    事关那么多人的隐私泄露我又怎么可以当做没看到呢?况且啊,这不只是隐私泄露,对于互联网产品而言,往大了说是可以导致公司倒闭的。
    DANG
        92
    DANG  
       2019-01-29 11:28:13 +08:00
    @kulove 所以你一定要获得领导的授权,引起领导的重视,只有把这种责任感转化为上司的指令,才能顺利的解决这个问题
    kulove
        93
    kulove  
    OP
       2019-01-29 11:30:48 +08:00
    @DANG sorry,看了下上面没提到,是先跟领导说明了情况的,过后另一个项目组的同事才来了解情况。
    tutusolo
        94
    tutusolo  
       2019-01-29 11:52:05 +08:00   ❤️ 2
    @kulove 合不合格你也评判不了, 这不是你开的公司, 要认清自己所处的位置, 发现了 bug 就得改? bug 也有优先级, 也要有排期, 也要安排人手去干. 这些不还是得他们干, 再者说, 他出了 bug, 周报月报怎么搞, 绩效怎么算. 你这变相的是侵犯别人的利益, 很多很多公司都有安全问题, 小公司 以业务发展为主, 哪里来的竞争对手搞他. 大公司有自己的安全组, 安全问题是他们的事情 跟你八竿子打不着的事情.

    反正听意思感觉你像是刚刚毕业的菜鸟, 对什么都抱不平,职场老油条都是守住自己一亩三分地, 事不关己高高挂起
    hellowes
        95
    hellowes  
       2019-01-29 11:58:08 +08:00
    #94 表示认同
    其实我觉得小公司不可能所有事情都特别理想,除非有无尽的时间和钱
    kulove
        96
    kulove  
    OP
       2019-01-29 11:58:08 +08:00 via Android
    @tutusolo 不好意思,请先去了解下 get shell 的危害,再来说是否需要排优先级。
    还哪来的公司来搞他。。真不知道你是怎么说出这番话的。
    还有做人呐,总是要有点坚守的,看来你并没有。
    southsala
        97
    southsala  
       2019-01-29 11:58:19 +08:00
    失败的沟通,俩人都比较暴躁,
    tutusolo
        98
    tutusolo  
       2019-01-29 12:09:27 +08:00
    @kulove

    git shell 我应该比你懂, 在十年前我就知道了

    危害? 那请问为何到现在都没暴露出来, 如果暴露出来了, 公司领导层不可能不重视,不可能还任由 bug 存在

    照这样说就是还没爆料出来, 那么,危害再大有什么用??? 你不要跟我说什么潜在危害, 潜在的东西多了去了, 这个东西一定就是他搞出来的?? 还你什么态度, 换做是我 不把你揍的鼻青脸肿已经对的起你了

    我并不知道你们公司的体量有多大 我说的是一般的小公司 很少有小公司被搞 看清楚字眼再来回复

    我觉得你情商真的很低, 你做人的底线侵犯了我的利益, 没对你拳打脚踢已经够对的起你了

    你可以坚守你的底线 但是前提不要去侵犯我的利益
    reself
        99
    reself  
       2019-01-29 12:16:23 +08:00 via Android
    楼主值得赞扬,但说话的方式需要改进。说话是一门艺术,是很重要的,你自己想表达的和别人接收到的一定是有偏差的,偏差大小根据不同的表达方式而不同。
    "我的意思是对用户隐私的态度,而他却理解成了说话的语气以及方式",这不和我们自己都讨厌的"我是你妈我是为你好哪怕我语气不好你也得听我的"一样了吗?
    至于安全,看看乌云的下场。想做白帽子是不行了,以后还是闷声发大财吧。
    kulove
        100
    kulove  
    OP
       2019-01-29 12:17:29 +08:00 via Android
    @tutusolo 首先,我是作为用户使用过程中发现的,既然是我发现把这个问题暴露出去没什么不妥吧?
    其次,你哪只眼睛看到我说这个漏洞是他搞出来的了??
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4238 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 10:08 · PVG 18:08 · LAX 02:08 · JFK 05:08
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.