今天下午太欢乐了。
中午吃完饭,我团队的一位小兄弟发来一个视频链接,跟我说快笑尿了。我一看,这不是《非你莫属》么。
原来“非你莫属20130407”这期,第4位求职者,叫王鑫,是学网络安全专业的,跑上来求职的意向是58同城的安全工程师。在视频网站上的标题叫“超级黑客叫板互联网大佬”。最后58同城开出了8k一个月的薪水,面试成功。
王鑫同学号称有5、6年的网络安全的经验,“为自由而战”。还发现了58同城的一个漏洞,据说2012年10月就发现了,一直没补。
那么是如何个超级法,如何个叫板法呢?我简单摘录一些对话如下。
一上来先介绍自己。
王鑫:“身边很多人都被抓了,特别大的网站我从来都不进。比如那些有备案的……”
说找到了58同城的漏洞,随后慕岩问百合网的情况。
王鑫:“百合网我测过一点点吧,没有测出漏洞。”
百合网-慕岩:“其实还是有的”
慕岩是明白人啊。
58同城-段冬:“我知道做网络安全的人,其实有个圈子,他们在测不同网站里边的漏洞,然后会相互通知安全人员,说你们网站有什么漏洞。”
……
随后,王鑫同学的才艺展示,展示了他发现的那个58同城的漏洞 —- 58同城某内部系统的后台,一个管理员登录界面。
欢乐时间开始。
58同城-段冬:“你进去了是吧?”
王鑫:“肯定不能进去,我要进去说明你这么大一站,肯定说明……”
百合网-慕岩:“我觉得这不是一个漏洞啊。”
王鑫:“这绝对是一个漏洞。”
百合网-慕岩:“半步嘛,你这只是半步嘛,还是无法进入这个系统……”
王鑫:“那肯定,如果我能进了,说明58做的太烂了嘛。”
同学,都没进去也能算漏洞呀?不说SQL注入了,XSS都没找一个,拿了个后台登录页面就敢来面试,侃侃而谈,面不改色心不跳。要换我估计演的没你这么好。
更欢乐的是,主持人恰到好处的配合。
主持人-张绍刚:“慕岩,千万不要不懂装懂,就是面对这样的专业人士,人家说,咱们就在那听,顶多随着他的说,我们假装听懂了。”
主持人-徐睿:“大家应该依稀还记得,他刚上场的时候还怯生生的样子,在谈到自己专业的时候判若两人,这就是自信。”
—— 我是万恶的分割线 ——
如果这件事情就这么结束了,那也仅仅是一场闹剧而已,看过就看过了,不值得我专门来八卦一下。
不过更欢乐的事情发生在下午。
“互联网大佬们”,让你们看看什么才叫专业。
在今天下午17:30分,在腾讯微博上一位叫 Castiel的网友贴了一张图,展示了58同城某后台的界面,而且是登录后的!
也就是说,58同城这个后台被成功入侵。
在17:54分,一位叫光影的“白帽子”在乌云(wooyun.org)网站上提交了一个 58同城某后台管理系统的绕过漏洞,可以直接登录进此后台。并且,该“白帽子”特别注明了,这个后台是《非你莫属》里出现的那一个。厂商修复后我上乌云了解了下漏洞类型,看到了这个漏洞的一些细节情况。
这个漏洞的低级程度就像是个小学生都应该掌握的技巧,属于在20世纪就已经出现的一种攻击方式。写这段代码的程序员真该被拖出去打屁股。
看到如此低级到不可能被忽略的漏洞后,我想如果这就是王鑫同学看的那个后台,那么:
1. 王鑫同学根本就不懂安全技术,纯粹来忽悠的
2. 王鑫同学进去过了,不过台上说没进去过。这在面试的时候可是有诚信问题哦。
由于安全漏洞的处理需要走“负责任的漏洞披露流程”,所以我不能在此透露细节。漏洞目前已经修补,按照乌云网的流程,会在几十天后披露细节信息。
百合网这次躺着也中枪。
就在今天下午的15:04分和16:16分,同样是在乌云网站上,一位叫leaf的“白帽子”提交了两个百合网的漏洞,一个是远程命令执行,一个是服务器配置问题,导致后台被入侵。
leaf同学登录后台后,看到了很多美女会员的手机号哦。
leaf同学在提交漏洞的备注里写到:“我中午看了非你莫属的那一期节目……”
我记得上次安全圈子里这么欢乐,还是Sharpwinner的那句:“我dir溢出你!”,虽然后来真的出个了dir溢出的漏洞。。。。
如果安全行业要弄个“搞笑诺贝尔奖”的话,我想Sharpwinner和王鑫同学都可以榜上有名了。
谢谢你们给这个屌丝行业带来了一丝欢乐,同志们辛苦了!
—— 我是万恶的分割线 ——
说点正经的,王鑫同学,这件事情可能会给你带来很大的压力,不过从你的表现来看,确实尚需磨砺。如果你真的是研究了5、6年的安全技术,而台上的表现又是你的真实水平的话,我建议你认真考虑一下要不要转行做销售。因为你的沟通能力比你的技术好太多了。
去年我在微博上贴了一些在面试安全工作时会加分的内容,如下:
1. wooyun上提交的漏洞,并被厂商认可的。最好是不同类型的,能表达你的知识面。(CVE、微软、Google的漏洞平台效果同)
2. 在黑客类杂志上发表了文章的,比如《黑客X档案》等,表明你有一定的研究精神。
3. 原创的技术类博客文章,比如漏洞原理分析等,说明你除了知其然,还知其所以然。
4. 自己挖掘的漏洞,以及分析文章。这个要求比较高,也比较少见这种人才,如果你能拿出5篇以上,只要专业对口,技术肯定是过关了。
5. 自己写的小工具,比如扫描器、exploit或后门之类。总之就是展示coding能力。
至于懂什么攻击原理之类的,来面试的所有人都这么写的(校招除外),怎么体现出你的与众不同?只懂渗透的话,除非你在这方面真的是非常非常出色,不然很难拿到什么好offer。
建议“互联网大佬们”也了解一下,特别是巨人网的那位同学,尤其注意招人的时候别被忽悠了啊。招安全的人,你可以问问他有没有乌云ID。乌云(wooyun.org)是眼下安全行业里最具影响力的社区,他们致力于帮助和监督厂商修补漏洞,并且执行“负责任的漏洞披露流程”。
提到乌云,正好推荐一下他们的微信公众账号:乌云漏洞报告平台,微信ID:wooyun_org。最近要推荐一批微信公众账号,今天就提前推荐乌云吧。
这是个工具类的公众账号,回复关键字可以订阅或者查找对应的漏洞。
比如回复“百合网”,可以看到很多百合网曾经出过的安全漏洞。所以为啥前面说慕岩是明白人呢,呵呵。
留言评论(旧系统):