购物车 (0)  
亲,您的购物车空空的哟~
去购物车结算
联宏网站建设网
Lianhong Website Construction Network
收藏本站

联宏联宏

咨询热线13970944709



联系方式

联系人:洪生

全国免费热线:400-0791-770

手  机:13970944709

电 话:0791-86227697 86230719

邮 箱:120428470@qq.com

公司主页:http://www.lianhw.com/

        http://www.hong114.com/

地 址:南昌市省政府大院东四路23号A座502号

website qrcode

扫描查看手机版网站

新闻详情

南昌做网站:网站漏洞如何补? 让技术 “驴唇”和商业 “马嘴”

来源:蓝鲸TMT网作者:蓝鲸TMT网网址:http://it.21cn.com/itnews/a/2014/1206/09/28686555.shtml浏览数:37 
文章附图

   这几天的北京格外冷,据说还要有一股弱冷空气来袭,这种情景与许多公司的心情十分契合。本周,有白帽子发布消息称,智联招聘存在安全漏洞,并已经造成86万份用户简历信息泄露。而就在12月4日,白帽子“路人甲”提交了一个名为“东方航空大量用户订单信息泄露”的漏洞,危害等级为高。加上今年上半年,携程资料泄露事件,漏洞问题几乎成了大部分网站的隐患。

不过,上述几家公司在漏洞曝光之后,都及时做出了回应,比如,智联招聘表示,漏洞中曝出的 IP 地址归是一家新兴招聘网站,被泄露信息的并不是智联招聘的用户。关于这份声明,实际上一直争议不断,针对这一问题有不少讨论。不过,在技术专家360网站安全总监赵武看来,这个争论实际上是白帽子的技术语言与商业语言的无法契合导致的。

漏洞的定义有所不同

数据显示,2013年,国内有超过95%的网站存在安全漏洞,40%的网站被植入后门,这些数据表明,几乎所有网站都可能有漏洞,这个问题是长期存在的。为了保护网站安全,部分大公司建立了SRC(安全应急响应中心),能够发动全网白帽子为企业提交漏洞。但是,大部分企业没有建立SRC。但这些企业对安全隐患是心知肚明的,它们当然不想问题暴露,所以问题的关键在于,企业如何与发现漏洞的白帽子进行沟通。之所以还会出现类似携程、智联招聘等公司的问题,主要有两个原因。

第一,白帽子发现漏洞后递交时存在顾虑。360网站安全总监赵武表示,刑法修正案有一项规定,如果安全人员获取了敏感信息或提供了安全工具,有可能触犯刑法。所以,当白帽子找到了网站的漏洞,由于涉嫌触犯刑法,白帽子会考虑要不要告诉企业。而此前,有过这样的案例,当白帽子告知企业网站存在漏洞时,厂商直接报警抓人。因此,白帽子不敢将漏洞报告给企业,隐患最终爆发也就很常见了。

第二,企业对漏洞的定义存在误区。即便企业能够接受白帽子提供的漏洞,在赵武看来,双方对漏洞严重程度的评估存在分歧。对企业来说,某个漏洞也许不涉及核心部分,也就不严重。但在技术人员看来,这一漏洞存在很大的隐患,通过此漏洞侵入网站核心部分是很容易的。双方在定级方面存在分歧,一旦谈不拢,漏洞很有可能会被曝光。

综上所述,如果没有SRC,企业与白帽子沟通起来是很困难的,对双方来说,都存在一定的风险,需要有一个中间方协调二者的关系。

平台作用:让技术语言与商业语言契合

在赵武看来,如果能像大企业一样,为其他企业建立SRC,有两个优点,一是能够让企业变被动为主动,主动发现网站的漏洞;二是有助有建立长效机制,保证企业避免受到攻击。在这种情况下,360成立了补天平台。

补天平台主要的作用是帮助企业建立SRC(安全应急响应中心),建立起厂商与白帽子之间的桥梁,最大程度避免企业由于安全漏洞遭受损失,让白帽子获得收益。在赵武看来,这样可以保证白帽子与企业的利益。

第一,白帽子能够获得收益,增加动力。补天平台可以建立一个有效的机制,企业为白帽子找到的漏洞支付报酬,发现漏洞的白帽子则将获得与辛劳相匹配的物质奖励,这样一来,白帽子就会更有动力。据赵武透露,有白帽子通过找漏洞,一个周可以拿到几千块钱,这对白帽子来说是一个相当大的激励。如果白帽子与企业对漏洞的定性依然存在问题,那么补天平台会作为调停方进行协调,平台的作用就发挥了出来。

第二,漏洞不会公开,防止被竞争对手利用。将漏洞毫无保留地公布,很有可能会被竞争对手和黑客利用,导致企业遭受到舆论压力,面临更大的被攻击的风险。而在补天平台上,除了漏洞发现者和相关企业之外,所有其他人员均不能看到漏洞相关细节,企业便可以安心修补漏洞。

综合来看,补天平台能够兼顾网站站长、白帽子和第三方建站程序厂商的共同利益。便可以让技术的“驴唇”和商业的“马嘴”对上。


在线客服
 
 

全国免费热线:

13970944709

客服 客服

客服 客服

客服 客服  

客服 客服

客服 客服