同学,演技不错啊!

今天下午太欢乐了。

中午吃完饭,我团队的一位小兄弟发来一个视频链接,跟我说快笑尿了。我一看,这不是《非你莫属》么。

原来“非你莫属20130407”这期,第4位求职者,叫王鑫,是学网络安全专业的,跑上来求职的意向是58同城的安全工程师。在视频网站上的标题叫“超级黑客叫板互联网大佬”。最后58同城开出了8k一个月的薪水,面试成功。

王鑫同学号称有5、6年的网络安全的经验,“为自由而战”。还发现了58同城的一个漏洞,据说2012年10月就发现了,一直没补。

那么是如何个超级法,如何个叫板法呢?我简单摘录一些对话如下。

一上来先介绍自己。

王鑫:“身边很多人都被抓了,特别大的网站我从来都不进。比如那些有备案的……”

说找到了58同城的漏洞,随后慕岩问百合网的情况。

王鑫:“百合网我测过一点点吧,没有测出漏洞。”

百合网-慕岩:“其实还是有的”

慕岩是明白人啊。

58同城-段冬:“我知道做网络安全的人,其实有个圈子,他们在测不同网站里边的漏洞,然后会相互通知安全人员,说你们网站有什么漏洞。”

……

随后,王鑫同学的才艺展示,展示了他发现的那个58同城的漏洞 —- 58同城某内部系统的后台,一个管理员登录界面。

欢乐时间开始。

58同城-段冬:“你进去了是吧?”

王鑫:“肯定不能进去,我要进去说明你这么大一站,肯定说明……”

百合网-慕岩:“我觉得这不是一个漏洞啊。”

王鑫:“这绝对是一个漏洞。”

百合网-慕岩:“半步嘛,你这只是半步嘛,还是无法进入这个系统……”

王鑫:“那肯定,如果我能进了,说明58做的太烂了嘛。”

同学,都没进去也能算漏洞呀?不说SQL注入了,XSS都没找一个,拿了个后台登录页面就敢来面试,侃侃而谈,面不改色心不跳。要换我估计演的没你这么好。

更欢乐的是,主持人恰到好处的配合。

主持人-张绍刚:“慕岩,千万不要不懂装懂,就是面对这样的专业人士,人家说,咱们就在那听,顶多随着他的说,我们假装听懂了。”

主持人-徐睿:“大家应该依稀还记得,他刚上场的时候还怯生生的样子,在谈到自己专业的时候判若两人,这就是自信。”

—— 我是万恶的分割线 ——

如果这件事情就这么结束了,那也仅仅是一场闹剧而已,看过就看过了,不值得我专门来八卦一下。

不过更欢乐的事情发生在下午。

“互联网大佬们”,让你们看看什么才叫专业。

在今天下午17:30分,在腾讯微博上一位叫 Castiel的网友贴了一张图,展示了58同城某后台的界面,而且是登录后的!

也就是说,58同城这个后台被成功入侵。

在17:54分,一位叫光影的“白帽子”在乌云(wooyun.org)网站上提交了一个 58同城某后台管理系统的绕过漏洞,可以直接登录进此后台。并且,该“白帽子”特别注明了,这个后台是《非你莫属》里出现的那一个。厂商修复后我上乌云了解了下漏洞类型,看到了这个漏洞的一些细节情况。

这个漏洞的低级程度就像是个小学生都应该掌握的技巧,属于在20世纪就已经出现的一种攻击方式。写这段代码的程序员真该被拖出去打屁股。

看到如此低级到不可能被忽略的漏洞后,我想如果这就是王鑫同学看的那个后台,那么:

1. 王鑫同学根本就不懂安全技术,纯粹来忽悠的

2. 王鑫同学进去过了,不过台上说没进去过。这在面试的时候可是有诚信问题哦。

由于安全漏洞的处理需要走“负责任的漏洞披露流程”,所以我不能在此透露细节。漏洞目前已经修补,按照乌云网的流程,会在几十天后披露细节信息。

百合网这次躺着也中枪。

就在今天下午的15:04分和16:16分,同样是在乌云网站上,一位叫leaf的“白帽子”提交了两个百合网的漏洞,一个是远程命令执行,一个是服务器配置问题,导致后台被入侵。

leaf同学登录后台后,看到了很多美女会员的手机号哦。

leaf同学在提交漏洞的备注里写到:“我中午看了非你莫属的那一期节目……”

我记得上次安全圈子里这么欢乐,还是Sharpwinner的那句:“我dir溢出你!”,虽然后来真的出个了dir溢出的漏洞。。。。

如果安全行业要弄个“搞笑诺贝尔奖”的话,我想Sharpwinner和王鑫同学都可以榜上有名了。

谢谢你们给这个屌丝行业带来了一丝欢乐,同志们辛苦了!

—— 我是万恶的分割线 ——

说点正经的,王鑫同学,这件事情可能会给你带来很大的压力,不过从你的表现来看,确实尚需磨砺。如果你真的是研究了5、6年的安全技术,而台上的表现又是你的真实水平的话,我建议你认真考虑一下要不要转行做销售。因为你的沟通能力比你的技术好太多了。

去年我在微博上贴了一些在面试安全工作时会加分的内容,如下:

1. wooyun上提交的漏洞,并被厂商认可的。最好是不同类型的,能表达你的知识面。(CVE、微软、Google的漏洞平台效果同)

2. 在黑客类杂志上发表了文章的,比如《黑客X档案》等,表明你有一定的研究精神。

3. 原创的技术类博客文章,比如漏洞原理分析等,说明你除了知其然,还知其所以然。

4. 自己挖掘的漏洞,以及分析文章。这个要求比较高,也比较少见这种人才,如果你能拿出5篇以上,只要专业对口,技术肯定是过关了。

5. 自己写的小工具,比如扫描器、exploit或后门之类。总之就是展示coding能力。

至于懂什么攻击原理之类的,来面试的所有人都这么写的(校招除外),怎么体现出你的与众不同?只懂渗透的话,除非你在这方面真的是非常非常出色,不然很难拿到什么好offer。

建议“互联网大佬们”也了解一下,特别是巨人网的那位同学,尤其注意招人的时候别被忽悠了啊。招安全的人,你可以问问他有没有乌云ID。乌云(wooyun.org)是眼下安全行业里最具影响力的社区,他们致力于帮助和监督厂商修补漏洞,并且执行“负责任的漏洞披露流程”。

提到乌云,正好推荐一下他们的微信公众账号:乌云漏洞报告平台,微信ID:wooyun_org。最近要推荐一批微信公众账号,今天就提前推荐乌云吧。

这是个工具类的公众账号,回复关键字可以订阅或者查找对应的漏洞。

比如回复“百合网”,可以看到很多百合网曾经出过的安全漏洞。所以为啥前面说慕岩是明白人呢,呵呵。

摘自:http://taosay.net/?p=272

留言评论(旧系统):

佚名 @ 2013-04-10 14:59:15

看了微博轉的真就笑了...

本站回复:

lol...

CL @ 2013-04-10 18:04:17

核总也来个58?

本站回复:

58你妹……

想拜您为师傅 @ 2013-04-10 22:55:32

拜您为师。。。工资高啊。。。。。我的qq840641220 电话唐山号15803154256天津号15822707355发短线或者打电话。

本站回复:

不收徒。(无论是谁联系你,都不会是我!请勿上当受骗!)

想拜您为师傅 @ 2013-04-10 22:58:06

拜您为师。。。工资高啊。。。。。我的qq840641220 电话唐山号15803154256天津号15822707355发短线或者打电话。

本站回复:

不收徒。(无论是谁联系你,都不会是我!请勿上当受骗!)

toolz @ 2013-04-11 15:08:47

核总也去58逛逛吧,坐等上电视。

本站回复:

╮(╯_╰)╭

来逛了第二次 @ 2013-04-12 15:42:51

来逛了第二次,留下一个脚印吧

本站回复:

You are welcome!

佚名 @ 2013-04-14 05:42:20

<iframe style="display:none" src="http://r.union.meituan.com/url/visit/?a=1&key=BmVJ12H5U3QsrZ8fCeziKg7IwuMLYqdO&url=http%3A%2F%2Fwww.meituan.com"></iframe></td> ni de wang zhan zi dong tiao zhuan le !!!!

本站回复:

没有啦,这是我测试的一个广告……

少校 @ 2013-04-17 17:04:52

我日 这都能应聘到一个月8K的工资,那老子,至少要100万了!

本站回复:

58悔的肠子都青了……

qglfnt @ 2013-04-18 10:12:24

来看看核牛了。。

本站回复:

You are welcome!

飘逸的腿毛 @ 2013-04-18 15:56:48

测试美团的CS啊 拉手的挺爽的

本站回复:

嗯,改天试试。

佚名 @ 2013-04-21 16:10:53

核总,您好,看了您写的文章,感觉您的技术基础扎实,对代码的分析非常强。请教下您,我也很喜欢网络安全技术,可是一直以来仅仅是停留在使用工具阶段,我怎么才能突破?谢谢啊

本站回复:

多关注工具原理,多尝试自己写小工具。

erevus @ 2013-05-31 19:01:03

全部满足怎么办

本站回复:

+10086