漏洞与BUG

 

最近浏览“混世魔王”的博客，看到他撰写的一篇博客《当你发现程序有一个漏洞，你和程序员沟通，程序员认为这只是一个BUG。根本不算漏洞，你会怎么处理这个问题？》,有所感触，便转载博文部分内容以作记录，如有侵权等相关问题，可以联系我，同时说明，最近对web攻防方面十分感兴趣，偶然机会浏览到“混世魔王”的博客，十分欣赏作者。

---

当你发现程序有一个漏洞，你和程序员沟通，程序员认为这只是一个BUG。根本不算漏洞，你会怎么处理这个问题？

---

一.确定这个问题的严重性，

我认为是漏洞，程序员也认为是漏洞，说明问题严重，需要修复。

而我认为是漏洞，程序员只认为是BUG，就说明这个问题不一致，有争议，在程序中的影响是不严重的。

二.我会考量这是一个在什么开发进度和环境情况下，需要的程序。需要立马修复，暂不修复，甚至不去修复。

没错，还有甚至不修复的方案。

举2个例子，你就明白了。

1.滴滴打车，最开始起步的时候，程序非常的烂，不稳定，架构也不好。用户各种抱怨。

后来他们团队新加的技术牛，能解决现在遇到问题。但是不停的和CEO程维说要重做程序，重新架构。

这个问题足足说了一年，才考虑重做。这一年，作为公司的CEO，程维考虑的是市场，业务，竞争对手，先让公司活下去。

谁不想有个稳定的系统？公司需要发展的时候，除非非常严重的问题，要不然能用就行。公司活不下，多稳定的程序都没用。

技术牛的视角从技术出发，抱怨公司的程序有乱，有多烂，要重做。而这个时候环境需求，能解决现在遇到问题就行。

2.淘宝客的Cookie Stuffing

BUG和漏洞就是一念之间，漏洞是可以利用，BUG是暂时不可以利用。在我BLOG提到过淘宝客的Cookie Stuffing，其中利用的就是淘宝的一个BUG。

这个很细微的BUG，存在了很多年，在我公布这个刷钱方法之前，淘宝的程序员和安全人员根本不屑一顾这是个问题。

一家稳定的公司，特别是主业务上的程序。是需要修复任何漏洞和BUG的。

三.BUG不修复的方案，就是程序是解决现有的问题，解决以后，就不会更新或使用了。程序员忙，可以，选择BUG不修复的方案。这里就不举例了。

 

工作是讲究原则的，不是谁说服谁的问题，难道他说服你，这个漏洞就变成BUG了？

这句话，在我看来就是  skr skr~