武汉大学珞珈山水BBS论坛
武汉大学bbs,武汉大学论坛,武汉大学网站,武汉大学bbs论坛,武大bbs,珞珈山水,珞珈山水bbs,武大论坛,洛加山水,加洛山水
[回到开始]
[上一篇][下一篇]
发信人: colormango (芒果), 信区: C.S
标 题: 在腾讯做应用安全(二)
发信站: BBS 珞珈山水站 (Fri Dec 28 20:08:38 2007)
在12月26日凌晨,有人利用了百度空间的模板漏洞,专门制作了一个能够自我复制和传播的
空间蠕虫,在短短的时间内,就有数千用户的空间受到了感染。百度官方的公告(可以在这
里看到:
http://hi.baidu.com/%B0%D9%B6%C8%BF%D5%BC%E4/blog/item/0e3433fa69eeb61aa8d3110f.
html)说,这个蠕虫含有恶意代码,并传播垃圾消息,百度已经紧急对此漏洞进行了处理,
云云。
对于一个互联网公司来说,这个是典型的安全事件。百度的安民公告写得很专业;不过在温
情脉脉的公告背后,我想一定是公关部门、安全部门、开发部门等多个部门的联动,紧张对
应对这个可能给他们带来大麻烦的事件。在腾讯,我们有时候也会面对这样的安全事件。
百度空间所谓的模板漏洞,用专业的术语来说,叫做“跨站脚本注入漏洞”。简单地说,就
是用户输入的内容里面包含了网页脚本代码(这对于任何应用来说都不应该允许的,因为它
会使得这个网页的行为失去控制,所以必须要执行过滤才能保存到服务器上),而百度的过
滤算法出现了漏洞,被别人绕过去了。蠕虫的作者据说是一个叫“剑心”的人,我想他大概
是和我们同龄,甚至更小,放这个蠕虫出来,有点“好玩”的意味(参考他的博客
http://www.loveshell.net/blog/blogview.asp?logID=283)。
其实网络上很多基于Web的应用都存在这种漏洞----他们的开发也不是不知道----实在是太
普遍了,出现蠕虫只是迟早的事情。也许很多人会奇怪,既然他们知道有问题,为什么不一
下子都改掉呢?这里面也许有很多原因;但是我想很重要的一个是:因为它们从来没有出过
大事情遭受到大麻烦,所以他们就拖着不动它。以我的经验为例:我们在工作中发现不少可
能导致服务器被黑掉的WEB漏洞,报告给负责开发的人之后,他们也许会马上修改,也许会
跟你扯一下皮(怎么也不相信自己的程序有问题),也许会有这样那样的理由推诿--总的来
说,修改程序会增加额外的工作量,但既然这个程序在上面跑了数月甚至数年也没有发生什
么事,可见改不改迟点改与早点改并没有太大的关系,我们眼下还有更多重要的事情要忙呢
。往往是,安全人员的殷勤并没有受到多大的重视。但是一旦外界爆出了一点什么事情,那
就不同了。比如说,有一个CGI程序没有过滤一些敏感的关键词,你输入什么就显示什么,
就技术的角度来说是没有任何的安全威胁的。但经过媒体一曝光,就变成了一个紧急而且重
要的事情,开发得赶紧修改程序,即使停掉业务也在所不惜,公关部得随时准备应对,上头
也会很关注,闹不好一干人士还可能被罚钱。从这里也可以看出,对于所谓的用户价值,一
个公司所真正关注的,和他们所声称的,实际上有着微妙的差别的。有时候我们在做推动工
作的时候,就不得不借助一两次这样的事件,趁着“上头非常关注”的东风,把安全策略和
政策推到其它部门去。
在腾讯在安全有一个非常大的优势,那就是它拥有一个巨大而复杂的网络(数万台的服务器
,上百G的流量带宽),各种各样的安全威胁它都遭遇过,这对于每一个做技术的员工来说
,都是一个难得的研究与学习的条件。不过仅有技术并不能解决问题,要把企业的安全做好
,还得有政策以及领导的支持。对于每年为公司带来数亿实实在在的收入的业务部门来说,
安全部门的“贡献”实在不值一提。也无怪乎我们一直都是支持与服务的角色,做什么事情
都好像在求着他们。
※ 修改:·colormango 於 Dec 28 20:20:17 2007 修改本文·[FROM: 219.133.51.*]
※ 来源:·珞珈山水BBS站 http://bbs.whu.edu.cn·[FROM: 219.133.51.*]
[回到开始]
[上一篇][下一篇]