上周有个客户说,用绿X科技的漏洞扫描工具在我们的服务器上发现了3个高危漏洞,要我们马上解决。
具体漏洞编号我就不说了。
反正是一通查,结果发现这个服务器不可能查出这三个漏洞。其中一个漏洞,我们早就通过配置把这个漏洞相关端口号关了。而且在其他客户那边,同样的服务器都没有扫描出这些高危漏洞。
但是客户不相信啊,死活要我们解决啊。我们就开始怀疑服务器上有其他服务、启动的服务不正确等等等等,还是解决不了。
于是我们说,服务器上是没有这些个漏洞的,绿X科技说有,让他们演示一遍这几个漏洞的攻击过程,我们学习一下,再想办法解决。结果绿X科技只派了个不懂技术的小姑娘在那边,想要演示攻击还得请示。这钱真TMD好赚啊。
那两天,我的电话都被客户打爆了。后来看到客户的电话过来都不敢接了。明明没有的漏洞你让我怎么修复啊?
后来突然灵光一现,之前有另一家安全公司说我们服务器有服务器信息泄露漏洞,绿X科技不会是通过我们的服务器信息来判断有什么漏洞吧?可是一个搞安全的总市值超百亿的公司不至于这么low吧?
可是客户的电话在后面催着,死马当活马医呗。让现场工程师把404页面的版本信息和header里面的版本信息改掉,然后再让绿X科技扫描一下。
高危漏洞没有了。
尼玛!