曾經(jīng)有個公司的IT技術(shù)人員,他發(fā)現(xiàn)了一個公共系統(tǒng)文件十分嚴(yán)重的漏洞,但是他沒跟公司的領(lǐng)導(dǎo)說,而是跟其他公司的技術(shù)和玩家說了,很長時間后,公司從市場上聽到了這個事兒,目前已經(jīng)給公司造成了不可估量的損失,但是這個技術(shù)人員卻說,不知道會有這么嚴(yán)重的后果。
聽上去可能比較假,但是,現(xiàn)在這樣的事兒,卻不是故事了,而是真的:
2021年11月24日,阿里云安全團(tuán)隊向Apache官方報告了Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞:由于Apache Log4j2某些功能存在遞歸解析功能,攻擊者可直接構(gòu)造惡意請求,觸發(fā)遠(yuǎn)程代碼執(zhí)行漏洞,漏洞利用無需特殊配置。經(jīng)阿里云安全團(tuán)隊驗證,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響。阿里云應(yīng)急響應(yīng)中心提醒 Apache Log4j2 用戶盡快采取安全措施阻止漏洞攻擊。
12月9日,工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺收到有關(guān)網(wǎng)絡(luò)安全專業(yè)機構(gòu)報告,阿帕奇Log4j2組件存在嚴(yán)重安全漏洞。
12 月 10 日凌晨,Apache 開源項目 Log4j 的遠(yuǎn)程代碼執(zhí)行漏洞細(xì)節(jié)被公開,由于 Log4j 的廣泛使用,該漏洞一旦被攻擊者利用會造成嚴(yán)重危害。可能的受影響應(yīng)用包括但不限于:Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、Elasticsearch、Flume、Dubbo、Redis、Logstash、Kafka 等。很多互聯(lián)網(wǎng)企業(yè)都連夜做了應(yīng)急措施,斗魚、京東、網(wǎng)易、深信服和汽車產(chǎn)業(yè)安全應(yīng)急響應(yīng)中心皆發(fā)文表示,鑒于該漏洞影響范圍比較大,業(yè)務(wù)自查及升級修復(fù)需要一定時間,暫不接收 Log4j2 相關(guān)的遠(yuǎn)程代碼執(zhí)行漏洞。
從11月24日到12月9日,近半個月的時間,國家相關(guān)部門才從鬧得沸沸揚揚的網(wǎng)絡(luò)上獲取到相關(guān)漏洞的信息,這期間,有多少國內(nèi)企業(yè)、機構(gòu)的數(shù)據(jù)、信息、系統(tǒng)被攻擊,現(xiàn)在無從得知。但是最起碼,這起事情,對于作為測試人員的我們,要有一下幾個啟示:
首先:軟件的任何漏洞和bug,不管多嚴(yán)重,都要及時上報。
因為軟件的bug帶來的危害,可能從某個角度來說或許影響不大,但是我們永遠(yuǎn)無法知道別人會怎樣利用這個漏洞和bug。畢竟子虛烏有的事情,都能被傳的倒是都是,何況是確有其事呢?
但是12月23日,阿里云對這事兒給了一個回應(yīng):
居然說沒有意識到漏洞的嚴(yán)重性?難道不知道log4j2的應(yīng)用廣泛度?還是不知道漏洞本身能夠被遠(yuǎn)程利用執(zhí)行的嚴(yán)重性?作為技術(shù)人員的我們,應(yīng)該不會不知道吧!
其次:作為測試人員,一定要站在企業(yè)利益的立場,明白測試是為誰而做。
一旦漏洞泄露,被人利用了,測試人員不是說大不了跳槽,或者說:“此處不留爺自有留爺處”,就能完事兒。因為你的行為可能會直接被記錄在案。
就像阿里云的此次行為,不知道給國內(nèi)的企業(yè)和機構(gòu)造成多嚴(yán)重的后果,因此,工信部安全相關(guān)信息平臺就取消了阿里云官方合作伙伴的資格六個月,以觀后效。
12月17日,工信部召集相關(guān)安全機構(gòu)和企業(yè)進(jìn)行風(fēng)險研判。
希望本次漏洞不會造成太過嚴(yán)重的后果吧!
現(xiàn)在小編就在考慮,明年我們教學(xué)輔助平臺,還要繼續(xù)使用阿里云么?有漏洞不給自己國內(nèi)的用戶報告,反而告知了外國人!更多關(guān)于“軟件測試技術(shù)干貨”的問題,歡迎咨詢千鋒教育在線名師。千鋒教育多年辦學(xué),課程大綱緊跟企業(yè)需求,更科學(xué)更嚴(yán)謹(jǐn),每年培養(yǎng)泛IT人才近2萬人。不論你是零基礎(chǔ)還是想提升,都可以找到適合的班型,千鋒教育隨時歡迎你來試聽。
京公網(wǎng)安備 11010802030320號