腾讯综合笔试题
掘、Web 应用漏洞挖掘、通用Fuzzy 平台等等;最上面一层的是业务安全,
也就是跟“人”(而不是底层技术)相关的了,比如说盗号行为分析、密码保护
系统等等。应用安全大体可以分两端:(1) QQ 客户端以及附属组件
等客户端软件的安全,其中最大的一个安全胁便是溢出攻击了。06 年底到今
年,对于控件溢出漏洞的关注是最突出的,不独腾讯,包括微软、雅虎、阿
里巴巴、迅雷等等,都爆出过漏洞的报告。(2)以WEB 应用为主体的服务
器端的安全,目前主要是寻找CGI 程序中存在的漏洞,报告并要求业务部门
去修改。国外的Web 安全研究早在98 年就很热了,专业做web 安全的,有
不少业绩能达数千万美元的公司。国内就不一样了,因为真正研究这个技术
的人少,虽然问题一直存在,却因为黑客的关注并不是很多(而且几乎都是
在很浅的层次上的),威胁也就变得不那么紧急了。
说实话,我们读书时教的那点信息安全知识,对于日新日异的互联网来
说,显得有点学究和过时,用上的机会不多。特别是应用安全方面,业界还
没有形成系统的知识和理论体系,可以参考的,是一篇又一篇散落在互联网
中的文档。我们是边学习边研究,然后又快速地为眼下的问题找到一个合适
的解决方案。这时候,一个老练的程序员是我们最期盼的了,因为一定方案
定下来就得着手开发相应的系统,没有一定的编程功底,是没法胜任的。奇
怪很,社会上那么多程序员,我们招了一年多,却没有招到几个合适的后台
开发。所以我们小组几个开发不得不一直都很忙,有时一个人同时承担两三
个项目的开发工作。
在12 月26 日凌晨,有人利用了百度空间的模板漏洞,专门制作了一个
能够自我复制和传播的空间蠕虫,在短短的时间内,就有数千用户的空间受
到了感染。百度官方的公告(可以在这里看到:
http://hi.baidu.com/%B0%D9%B6%C8%BF%D5%BC%
E4/blog/item/0e3433fa69eeb61aa8d3110f.html)说,这个蠕虫含有恶意代
码,并传播垃圾消息,百度已经紧急对此漏洞进行了处理,云云。
对于一个互联网公司来说,这个是典型的安全事件。百度的安民公告写
得很专业;不过在温情脉脉的公告背后,我想一定是公关部门、安全部门、
开发部门等多个部门的联动,紧张对应对这个可能给他们带来大麻烦的事件。
在腾讯,我们有时候也会面对这样的安全事件。
百度空间所谓的模板漏洞,用专业的术语来说,叫做“跨站脚本注入漏洞”。
简单地说,就是用户输入的内容里面包含了网页脚本代码(这对于任何应用
来说都不应该允许的,因为它会使得这个网页的行为失去控制,所以必须要
执行过滤才能保存到服务器上),而百度的过滤算法出现了漏洞,被别人绕
过去了。蠕虫的作者据说是一个叫“剑心”的人,我想他大概是和我们同龄,甚
至更小,放这个蠕虫出来,有点“好玩”的意味(参考他的博客http:
//www.loveshell.net/blog/blogview.asp?logID=283)。
其实网络上很多基于Web 的应用都存在这种漏洞----他们的开发也不是
不知道----实在是太普遍了,出现蠕虫只是迟早的事情。也许很多人会奇怪,
既然他们知道有问题,为什么不一下子都改掉呢?这里面也许有很多原因;
但是我想很重要的一个是:因为它们从来没有出过大事情遭受到大麻烦,所
以他们就拖着不动它。以我的经验为例:我们在工作中发现不少可能导致服
务器被黑掉的WEB 漏洞,报告给负责开发的人之后,他们也许会马上修改,
www.qz26.com
也许会跟你扯一下皮(怎么也不相信自己的程序有问题),也许会有这样那
样的理由推诿--总的来说,修改程序会增加额外的工作量,但既然这个程序在
上面跑了数月甚至数年也没有发生什么事,可见改不改迟点改与早点改并没
有太大的关系,我们眼下还有更多重要的事情要忙呢。往往是,安全人员的
殷勤并没有受到多大的重视。但是一旦外界爆出了一点什么事情,那就不同
了。比如说,有一个CGI 程序没有过滤一些敏感的关键词,你输入什么就显
示什么,就技术的角度来说是没有任何的安全威胁的。但经过媒体一曝光,
就变成了一个紧急而且重要的事情,开发得赶紧修改程序,即使停掉业务也
上一页 [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] 下一页