写的不怎么好。但可以给新毕业的学生一点启发。 看看别人是怎么做的。 当然安全肯定不止是文章中说的这点,而且老实说写的也很一般。为什么发。因为不知道什么是安全的太多了。怎么做的太少了。呵呵
武大的信息安全专业,到今年已经毕业三届了,不过好像没听说有几个毕业生真正在做安全相关的技术工作的,我那届有两三个在金山做杀毒的。在腾讯的安全部门,就我一个是武大的;还有一个信安的师弟在QQ医生那个项目组,也算是安全相关吧,不过这个组并不归属于我们部门。
在腾讯,安全工作主要是在三个层次上进行的:(1)传统的主机与网络层安全,主要包括网络入侵检测、主机完整性审计、防 DDOS攻击、网络及主机防火墙等等;(2)稍往上的是软件与应用安全,包括客户端软件漏洞挖掘、Web应用漏洞挖掘、通用Fuzzy平台等等;最上面一层的是业务安全,也就是跟“人”(而不是底层技术)相关的了,比如说盗号行为分析、密码保护系统等等。 应用安全大体可以分两端:(1) QQ客户端以及附属组件等客户端软件的安全,其中最大的一个安全胁便是溢出攻击了。06年底到今年,对于控件溢出漏洞的关注是最突出的,不独腾讯,包括微软、雅虎、阿里巴巴、迅雷等等,都爆出过漏洞的报告。(2)以WEB应用为主体的服务器端的安全,目前主要是寻找CGI程序中存在的漏洞,报告并要求业务部门去修改。国外的Web安全研究早在98年就很热了,专业做web安全的,有不少业绩能达数千万美元的公司。国内就不一样了,因为真正研究这个技术的人少,虽然问题一直存在,却因为黑客的关注并不是很多(而且几乎都是在很浅的层次上的),威胁也就变得不那么紧急了。
说实话,我们读书时教的那点信息安全知识,对于日新日异的互联网来说,显得有点学究和过时,用上的机会不多。特别是应用安全方面,业界还没有形成系统的知识和理论体系,可以参考的,是一篇又一篇散落在互联网中的文档。我们是边学习边研究,然后又快速地为眼下的问题找到一个合适的解决方案。这时候,一个老练的程序员是我们最期盼的了,因为一定方案定下来就得着手开发相应的系统,没有一定的编程功底,是没法胜任的。奇怪很,社会上那么多程序员,我们招了一年多,却没有招到几个合适的后台开发。所以我们小组几个开发不得不一直都很忙,有时一个人同时承担两三个项目的开发工作。
在12月26日凌晨,有人利用了百度空间的模板漏洞,专门制作了一个能够自我复制和传播的空间蠕虫,在短短的时间内,就有数千用户的空间受到了感染。百度官方的公告(可以在这里看到: http://hi.baidu.com/%B0%D9%B6%C8%BF%D5%BC% E4/blog/item/0e3433fa69eeb61aa8d3110f.html)说,这个蠕虫含有恶意代码,并传播垃圾消息,百度已经紧急对此漏洞进行了处理,云云。
对于一个互联网公司来说,这个是典型的安全事件。百度的安民公告写得很专业;不过在温情脉脉的公告背后,我想一定是公关部门、安全部门、开发部门等多个部门的联动,紧张对应对这个可能给他们带来大麻烦的事件。在腾讯,我们有时候也会面对这样的安全事件。
百度空间所谓的模板漏洞,用专业的术语来说,叫做“跨站脚本注入漏洞”。简单地说,就是用户输入的内容里面包含了网页脚本代码(这对于任何应用来说都不应该允许的,因为它会使得这个网页的行为失去控制,所以必须要执行过滤才能保存到服务器上),而百度的过滤算法出现了漏洞,被别人绕过去了
其实网络上很多基于Web的应用都存在这种漏洞----他们的开发也不是不知道----实在是太普遍了,出现蠕虫只是迟早的事情。也许很多人会奇怪,既然他们知道有问题,为什么不一下子都改掉呢?这里面也许有很多原因;但是我想很重要的一个是:因为它们从来没有出过大事情遭受到大麻烦,所以他们就拖着不动它。以我的经验为例:我们在工作中发现不少可能导致服务器被黑掉的WEB漏洞,报告给负责开发的人之后,他们也许会马上修改,也许会跟你扯一下皮
武大的信息安全专业,到今年已经毕业三届了,不过好像没听说有几个毕业生真正在做安全相关的技术工作的,我那届有两三个在金山做杀毒的。在腾讯的安全部门,就我一个是武大的;还有一个信安的师弟在QQ医生那个项目组,也算是安全相关吧,不过这个组并不归属于我们部门。
在腾讯,安全工作主要是在三个层次上进行的:(1)传统的主机与网络层安全,主要包括网络入侵检测、主机完整性审计、防 DDOS攻击、网络及主机防火墙等等;(2)稍往上的是软件与应用安全,包括客户端软件漏洞挖掘、Web应用漏洞挖掘、通用Fuzzy平台等等;最上面一层的是业务安全,也就是跟“人”(而不是底层技术)相关的了,比如说盗号行为分析、密码保护系统等等。 应用安全大体可以分两端:(1) QQ客户端以及附属组件等客户端软件的安全,其中最大的一个安全胁便是溢出攻击了。06年底到今年,对于控件溢出漏洞的关注是最突出的,不独腾讯,包括微软、雅虎、阿里巴巴、迅雷等等,都爆出过漏洞的报告。(2)以WEB应用为主体的服务器端的安全,目前主要是寻找CGI程序中存在的漏洞,报告并要求业务部门去修改。国外的Web安全研究早在98年就很热了,专业做web安全的,有不少业绩能达数千万美元的公司。国内就不一样了,因为真正研究这个技术的人少,虽然问题一直存在,却因为黑客的关注并不是很多(而且几乎都是在很浅的层次上的),威胁也就变得不那么紧急了。
说实话,我们读书时教的那点信息安全知识,对于日新日异的互联网来说,显得有点学究和过时,用上的机会不多。特别是应用安全方面,业界还没有形成系统的知识和理论体系,可以参考的,是一篇又一篇散落在互联网中的文档。我们是边学习边研究,然后又快速地为眼下的问题找到一个合适的解决方案。这时候,一个老练的程序员是我们最期盼的了,因为一定方案定下来就得着手开发相应的系统,没有一定的编程功底,是没法胜任的。奇怪很,社会上那么多程序员,我们招了一年多,却没有招到几个合适的后台开发。所以我们小组几个开发不得不一直都很忙,有时一个人同时承担两三个项目的开发工作。
在12月26日凌晨,有人利用了百度空间的模板漏洞,专门制作了一个能够自我复制和传播的空间蠕虫,在短短的时间内,就有数千用户的空间受到了感染。百度官方的公告(可以在这里看到: http://hi.baidu.com/%B0%D9%B6%C8%BF%D5%BC% E4/blog/item/0e3433fa69eeb61aa8d3110f.html)说,这个蠕虫含有恶意代码,并传播垃圾消息,百度已经紧急对此漏洞进行了处理,云云。
对于一个互联网公司来说,这个是典型的安全事件。百度的安民公告写得很专业;不过在温情脉脉的公告背后,我想一定是公关部门、安全部门、开发部门等多个部门的联动,紧张对应对这个可能给他们带来大麻烦的事件。在腾讯,我们有时候也会面对这样的安全事件。
百度空间所谓的模板漏洞,用专业的术语来说,叫做“跨站脚本注入漏洞”。简单地说,就是用户输入的内容里面包含了网页脚本代码(这对于任何应用来说都不应该允许的,因为它会使得这个网页的行为失去控制,所以必须要执行过滤才能保存到服务器上),而百度的过滤算法出现了漏洞,被别人绕过去了
其实网络上很多基于Web的应用都存在这种漏洞----他们的开发也不是不知道----实在是太普遍了,出现蠕虫只是迟早的事情。也许很多人会奇怪,既然他们知道有问题,为什么不一下子都改掉呢?这里面也许有很多原因;但是我想很重要的一个是:因为它们从来没有出过大事情遭受到大麻烦,所以他们就拖着不动它。以我的经验为例:我们在工作中发现不少可能导致服务器被黑掉的WEB漏洞,报告给负责开发的人之后,他们也许会马上修改,也许会跟你扯一下皮
最低0.47元/天 解锁文章
2151
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
