《苏菲的世界》经典语:你是谁?世界从哪里来?同样适用于我们每个人,软件测试路在何方,路在脚下!!!

非你莫属—超级黑客叫板互联网大佬

上一篇 / 下一篇  2013-04-12 16:37:52 / 个人分类:测试人生

@tombkeeper:讲的是假黑客在《非你莫属》上成功忽悠了58同城,被慕岩火眼金睛指出后,那著名猪头主持人又以其强大装逼功力把慕岩弹回去了。现在不少人很不平,据说58同城服务器的root权限已经被拿了——同学们,姚劲波看起来人还不错,差不多就行啦。

53899d01jw1e3j3f25nj7g

@aullik5:今天下午太欢乐了。

中午吃完饭,我团队的一位小兄弟发来一个视频链接,跟我说快笑尿了。我一看,这不是《非你莫属》么。

原来“非你莫属20130407”这期,第4位求职者,叫王鑫,是学网络安全专业的,跑上来求职的意向是58同城的安全工程师。在视频网站上的标题叫“超级黑客叫板互联网大佬”。最后58同城开出了8k一个月的薪水,面试成功。

wangxin

王鑫同学号称有5、6年的网络安全的经验,“为自由而战”。还发现了58同城的一个漏洞,据说2012年10月就发现了,一直没补。

那么是如何个超级法,如何个叫板法呢?我简单摘录一些对话如下。

一上来先介绍自己。

王鑫:“身边很多人都被抓了,特别大的网站我从来都不进。比如那些有备案的……”

说找到了58同城的漏洞,随后慕岩问百合网的情况。

王鑫:“百合网我测过一点点吧,没有测出漏洞。”

百合网-慕岩:“其实还是有的”

慕岩是明白人啊。

58同城-段冬:“我知道做网络安全的人,其实有个圈子,他们在测不同网站里边的漏洞,然后会相互通知安全人员,说你们网站有什么漏洞。”

……

随后,王鑫同学的才艺展示,展示了他发现的那个58同城的漏洞 —- 58同城某内部系统的后台,一个管理员登录界面。

欢乐时间开始。

58同城-段冬:“你进去了是吧?”

王鑫:“肯定不能进去,我要进去说明你这么大一站,肯定说明……”

百合网-慕岩:“我觉得这不是一个漏洞啊。”

王鑫:“这绝对是一个漏洞。”

百合网-慕岩:“半步嘛,你这只是半步嘛,还是无法进入这个系统……”

王鑫:“那肯定,如果我能进了,说明58做的太烂了嘛。”

同学,都没进去也能算漏洞呀?不说SQL注入了,XSS都没找一个,拿了个后台登录页面就敢来面试,侃侃而谈,面不改色心不跳。要换我估计演的没你这么好。

更欢乐的是,主持人恰到好处的配合。

主持人-张绍刚:“慕岩,千万不要不懂装懂,就是面对这样的专业人士,人家说,咱们就在那听,顶多随着他的说,我们假装听懂了。”

主持人-徐睿:“大家应该依稀还记得,他刚上场的时候还怯生生的样子,在谈到自己专业的时候判若两人,这就是自信。”

—— 我是万恶的分割线 ——

如果这件事情就这么结束了,那也仅仅是一场闹剧而已,看过就看过了,不值得我专门来八卦一下。

不过更欢乐的事情发生在下午。

“互联网大佬们”,让你们看看什么才叫专业。

在今天下午17:30分,在腾讯微博上一位叫 Castiel的网友贴了一张图,展示了58同城某后台的界面,而且是登录后的!

也就是说,58同城这个后台被成功入侵。

在17:54分,一位叫光影的“白帽子”在乌云(wooyun.org)网站上提交了一个 58同城某后台管理系统的绕过漏洞,可以直接登录进此后台。并且,该“白帽子”特别注明了,这个后台是《非你莫属》里出现的那一个。厂商修复后我上乌云了 解了下漏洞类型,看到了这个漏洞的一些细节情况。

这个漏洞的低级程度就像是个小学生都应该掌握的技巧,属于在20世纪就已经出现的一种攻击方式。写这段代码的程序员真该被拖出去打屁股。

看到如此低级到不可能被忽略的漏洞后,我想如果这就是王鑫同学看的那个后台,那么:

1. 王鑫同学根本就不懂安全技术,纯粹来忽悠的

2. 王鑫同学进去过了,不过台上说没进去过。这在面试的时候可是有诚信问题哦。

由于安全漏洞的处理需要走“负责任的漏洞披露流程”,所以我不能在此透露细节。漏洞目前已经修补,按照乌云网的流程,会在几十天后披露细节信息。

百合网这次躺着也中枪。

就在今天下午的15:04分和16:16分,同样是在乌云网站上,一位叫leaf的“白帽子”提交了两个百合网的漏洞,一个是远程命令执行,一个是服务器配置问题,导致后台被入侵。

leaf同学登录后台后,看到了很多美女会员的手机号哦。

leaf同学在提交漏洞的备注里写到:“我中午看了非你莫属的那一期节目……”

我记得上次安全圈子里这么欢乐,还是Sharpwinner的那句:“我dir溢出你!”,虽然后来真的出个了dir溢出的漏洞……

如果安全行业要弄个“搞笑诺贝尔奖”的话,我想Sharpwinner和王鑫同学都可以榜上有名了。

谢谢你们给这个屌丝行业带来了一丝欢乐,同志们辛苦了!

—— 我是万恶的分割线 ——

说点正经的,王鑫同学,这件事情可能会给你带来很大的压力,不过从你的表现来看,确实尚需磨砺。如果你真的是研究了5、6年的安全技术,而台上的表现又是你的真实水平的话,我建议你认真考虑一下要不要转行做销售。因为你的沟通能力比你的技术好太多了。

去年我在微博上贴了一些在面试安全工作时会加分的内容,如下:

1. wooyun上提交的漏洞,并被厂商认可的。最好是不同类型的,能表达你的知识面。(CVE、微软Google的漏洞平台效果同)

2. 在黑客类杂志上发表了文章的,比如《黑客X档案》等,表明你有一定的研究精神。

3. 原创的技术类博客文章,比如漏洞原理分析等,说明你除了知其然,还知其所以然。

4. 自己挖掘的漏洞,以及分析文章。这个要求比较高,也比较少见这种人才,如果你能拿出5篇以上,只要专业对口,技术肯定是过关了。

5. 自己写的小工具,比如扫描器、exploit或后门之类。总之就是展示coding能力。

至于懂什么攻击原理之类的,来面试的所有人都这么写的(校招除外),怎么体现出你的与众不同?只懂渗透的话,除非你在这方面真的是非常非常出色,不然很难拿到什么好offer。

建议“互联网大佬们”也了解一下,特别是巨人网的那位同学,尤其注意招人的时候别被忽悠了啊。招安全的人,你可以问问他有没有乌云ID。乌云 (wooyun.org)是眼下安全行业里最具影响力的社区,他们致力于帮助和监督厂商修补漏洞,并且执行“负责任的漏洞披露流程”。

提到乌云,正好推荐一下他们的微信公众账号:乌云漏洞报告平台,微信ID:wooyun_org。最近要推荐一批微信公众账号,今天就提前推荐乌云吧。

这是个工具类的公众账号,回复关键字可以订阅或者查找对应的漏洞。

比如回复“百合网”,可以看到很多百合网曾经出过的安全漏洞。所以为啥前面说慕岩是明白人呢,呵呵。

======

本文内容来自微信公众账号:道哥的黑板报。微信ID:taosay。转载请注明出处。

微博ID(新浪、腾讯):aullik5

原文地址:http://taosay.net/?p=272


TAG:

 

评分:0

我来说两句

张亚洲

张亚洲

人生不如意十常八九,伤春、悲秋解决不了问题!!!

日历

« 2021-12-06  
   1234
567891011
12131415161718
19202122232425
262728293031 

数据统计

  • 访问量: 163651
  • 日志数: 49
  • 建立时间: 2012-06-21
  • 更新时间: 2017-07-09

RSS订阅

Open Toolbar