第六章 海量的漏洞(1 / 2)

加入书签

漏洞扫描工具编写完成。

李逸开始进行测试。

登陆Hae平台,注册账号,登入平台,进入某公司发起的漏洞众测项目,获得了相关服务器的IP地址,接下来,李逸一键启动他自制的漏洞扫描工具。

下一秒,绿色的代码瀑布流疯狂涌现,漏洞扫描工具顺利运行,各个子模块开始工作,解析该服务站点的漏洞情况。

……

风谷科技,一家总部位于魔都的上市软件公司,意在推动信息化与工业化深度融合,提升城市智能化水平,业务遍及钢铁,交通,医药,化工,金融,等等多个行业,深耕软件领域,对软件安全,系统安全有着极致的追求。

风谷科技技术部负责人-张培勇,如同往日一般,上班后第一时间打开电脑,查看邮箱,审核下属们的工作进度,规划下一步的工作。

忽然,一阵敲门声响起,打断了张培勇的思路。

“请进!”张培勇抬眼,看向门外。

“勇哥,不好了,榕城智慧云项目发现大量BUG,修改完这些BUG,工作量几乎等于推倒重做。”一位发量稀疏的年轻人-赵晓辉,推门而入,哭丧着脸汇报。

“榕城智慧云?放在平台开放众测那个项目?”张培勇淡定地看着赵晓辉,问。

“是的!被个高手挖掘出了大量漏洞。”赵晓辉满脸苦涩地确认道。

张培勇连忙打开平台,登陆进入后台。

下一刻,网站后台展一条条漏洞数据,RCE漏洞、SQL注入漏洞,账户劫持漏洞,CORS、CSRF、源码泄露,速率限制,……,等等,共计227条漏洞。

张培勇看得头皮阵阵发麻。

有这么多?

真的假的!

张培勇满脸不信,随手点开一条RCE漏洞的数据。

这条漏洞针对一个子域名目标,用Dirb爆目录时发现了其.git目录,用gitpillage深入探测时,调用的POST参数并未被过滤审核,并关联到一个远程代码执行漏洞。

张培勇神情一紧,按照上面的漏洞描述,立即展开测试。

张培勇双手放键盘上,噼里啪啦的一阵操作,很快,按照漏洞描述的情况,直接切入榕城智慧云项目的漏洞所在。

妈的!

真有这个漏洞。

张培勇慌了神,不信邪地继续测试下一个漏洞。

很快,张培勇按照漏洞发现者的描述,进行演示,成功获取了站点上该项应用服务的所有源码,这个漏洞比上个RCE漏洞的威胁严重多了。

张培勇额头滑落一滴冷汗。

这个漏洞要是没被发现,一旦项目上线运行,被人利用了这个漏洞,将严重威胁客户的数据安全。

张培勇深吸了口气,继续抽看下一个漏洞情况。

这是一个账户劫持漏洞,把email地址换成他人用户的email地址,就能用请求包中设置包含的密码,替换更改他人的账户密码,整个过程不需要任何验证机制。

张培勇连续测试五六个漏洞,每个漏洞都真实存在。

很好,很好!

张培勇既生气又开心,心情十分复杂。

生气的原因,自己的技术团队编写了一个漏洞百出的破玩意,简直就是一堆垃圾。

开心的原因,是这些问题被人找出来,避免了交到客户手头上,产生巨大风险隐患。

“勇哥,接下来怎么做?”看着张培勇满脸的怒容,赵晓辉忐忑地问。

“怎么做?什么怎么做!人家都帮我们把漏洞找出来了,难道放着不管吗?通知所有人会议室集合!”张培勇气急败坏地叱喝。

“好!”赵晓辉躬声应了一句,逃似的离开办公室。

张培勇站立起身,气冲冲地前往会议室,安排修改任务

没过多久,会议室里,传来程序员们一阵阵的哀嚎声。

200多个漏洞要在规定期限内修改完,庞大的工作量,未来一段时间,注定要长期加班,周末,节日假期什么的,想都不要想。

目送下属们一个个垂头丧气的离去,张培勇亦是满脸愁容,他原本也计划着周末陪女儿过生日,项目出现这么严重的问题,他这个负责人,肯定走不开。

“勇哥,那个漏洞发现者要怎么奖励,200多个漏洞,奖励太多的话,这笔钱财务那边肯定不给批。”赵晓辉一脸紧张地看着张培勇,请示道。

闻言,张培勇的脸色更加难看了。

正常来讲,挖掘一个漏洞,一般会给与发现者几千,甚至几万的奖金,若是换做微软,苹果这些国际巨头,发现一个重大漏洞,甚至能获得几十万,上千万的奖金,单位还是美刀。

一个漏洞给几千块的奖金,已经非常少了。

就算一个漏洞只给小几千,两百多个漏洞,要支出近百万,对于公司来讲,是一笔不小的意外支出,财务经理不找他麻烦才怪。

而且,这钱不能不给,这家伙能发现这么多漏洞,肯定是个技术高手,鬼知道,他手里还有没有掌握其它漏洞。

给少了不合适,给多了财务不批。

↑返回顶部↑

书页/目录