Secure
今天看到一则新闻《大疆 VS “白帽子”,到底谁威胁了谁?》,大概内容讲的就是今年八月份大疆推出了了 Bug Bounty 项目,鼓励白帽子提交漏洞,然后根据问题的严重程度给不同级别的奖金奖励。后来国外一哥们儿(Twitter @d0tslash),从 Github 上获取了大疆的 SSL 认证私钥,AWS Key 等密钥,可以获取大疆服务器上的敏感用户信息。最后,因为双方谈判不能达成一致,各执一词开撕。
说到 Github,我又想起几年前,也是国外一哥们儿(Twitter @homakov)谈论他是如何通过 Github 漏洞拿到官方奖励的。具体的细节参考这个 Commit,具体的分析参考陈皓的文章《从“黑掉 GITHUB” 学 WEB 安全开发》。这里还有 Github 官方的 Bug Bounty 三周年总结。
再回想多年前 CSDN 六百万用户信息泄漏,网友发布到网上的用户信息,下载解压后,所有用户名和密码都竟然是明文的(还是一个办《程序员》杂志的公司😓),当年月光博客也全程分析了这个事件。还有步后尘的天涯论坛,网易等用户数据都曾泄漏过。
想到这里,觉得要做好一个项目真的不容易。单从安全方面考虑,作为一个开发者最基本的就是先好好学习学习OWASP Top 10。对于一些常见的场景,有最起码的安全意识。从下图也可以看出,常见的安全问题往往都是相似的。
OWASP Top 10 Trend
网友评论