上一篇:
遇到这样的程序员,你怎么办?
[ 2008/03/23 11:59 | by selboo ]
转自 Wyulnnhtg's Blog
此文没什么价值,纯属发牢骚而已!~时间不多的朋友就不要往下看了!
我不知道其它的运维人员或者是安全人员对上线的web项目是否做安全检测!反正我是没有这个习惯。我拿的只是运维的工资,我我负责的只是服务器的运行维护,和操作系统的安全性保证!如果程序员写的程序每个都要让运维来做安全检测的话,那还要程序员干什么?还要测试工程师干什么?我不知道其它的运维人员有没有遇到这样的新鲜事,现在我来讲一讲我遇到的。
今天早上一到单位,闲着没事,做了次服务器的例行检查。突然发现一台服务器的管理员帐号被克隆了。靠,不应该啊!硬防静默了所有的端口,外部攻击基本上不可能啊!接下来开始查比较常规的系统漏洞,目录权限和端口等。确定一切都没有问题后,开始把目标转向web应用。四五个应用,还跑了个VM。没办法,查吧!结果发现一个项目,真的是相当傻,相当和谐了!直接输入域名,没问题。当在域名后加上index.aspx。好嘛!直接进后台了,连验证都没有!看了看后台,更吃惊了,有个上传模块,没有验证文件类型,甚至连扩展名都没有验证!我地神呐,这不要了我命吗?
这台服务器是归属于某部门的,由于只有一台,所以db和web没有分离。并且为了内部传输文件方便,还装了serv-u,更不巧的是他们还申请了开放外部ftp端口!思路不用理顺,都很清晰,webshell上去,serv-u提权,反弹木马装上,好了,系统权限拿到!没什么好说的,迅速上报,领导让我直接去找负责这个项目的人说明情况!到程序员那一说,好嘛,人家来了句:没事,那个我知道,我加上就好了。靠,知道你不早加上!故意整我不是?(当然这话没说出来)能忍则忍了!一个小时后,电话告诉我,改好了。我把他们的站点开放,安全起见,又看了一下。结果呢,还是没有登录验证,只是把我提示他的,上传模块加了个验证,直接输入index.aspx进去的,还是没有登录验证,首页的探针依然显示,无奈了!最后找来他们主管,直接把网站停掉,告诉他们,什么时候你们自己测试好了,再来找我!我就是个运维的,没有义务,更没有时间去教你写程序!
要是你遇到了这样的程序员,你怎么收拾他?