漏洞与BUG

 

最近浏览“混世魔王”的博客,看到他撰写的一篇博客《当你发现程序有一个漏洞,你和程序员沟通,程序员认为这只是一个BUG。根本不算漏洞,你会怎么处理这个问题?》,有所感触,便转载博文部分内容以作记录,如有侵权等相关问题,可以联系我,同时说明,最近对web攻防方面十分感兴趣,偶然机会浏览到“混世魔王”的博客,十分欣赏作者。


当你发现程序有一个漏洞,你和程序员沟通,程序员认为这只是一个BUG。根本不算漏洞,你会怎么处理这个问题?


一.确定这个问题的严重性,

我认为是漏洞,程序员也认为是漏洞,说明问题严重,需要修复。

而我认为是漏洞,程序员只认为是BUG,就说明这个问题不一致,有争议,在程序中的影响是不严重的。

二.我会考量这是一个在什么开发进度和环境情况下,需要的程序。需要立马修复,暂不修复,甚至不去修复。

没错,还有甚至不修复的方案。

举2个例子,你就明白了。

1.滴滴打车,最开始起步的时候,程序非常的烂,不稳定,架构也不好。用户各种抱怨。

后来他们团队新加的技术牛,能解决现在遇到问题。但是不停的和CEO程维说要重做程序,重新架构。

这个问题足足说了一年,才考虑重做。这一年,作为公司的CEO,程维考虑的是市场,业务,竞争对手,先让公司活下去。

谁不想有个稳定的系统?公司需要发展的时候,除非非常严重的问题,要不然能用就行。公司活不下,多稳定的程序都没用。

技术牛的视角从技术出发,抱怨公司的程序有乱,有多烂,要重做。而这个时候环境需求,能解决现在遇到问题就行。

2.淘宝客的Cookie Stuffing

BUG和漏洞就是一念之间,漏洞是可以利用,BUG是暂时不可以利用。在我BLOG提到过淘宝客的Cookie Stuffing,其中利用的就是淘宝的一个BUG。

这个很细微的BUG,存在了很多年,在我公布这个刷钱方法之前,淘宝的程序员和安全人员根本不屑一顾这是个问题。

一家稳定的公司,特别是主业务上的程序。是需要修复任何漏洞和BUG的。

三.BUG不修复的方案,就是程序是解决现有的问题,解决以后,就不会更新或使用了。程序员忙,可以,选择BUG不修复的方案。这里就不举例了。

 

工作是讲究原则的,不是谁说服谁的问题,难道他说服你,这个漏洞就变成BUG了?

这句话,在我看来就是  skr skr~

你可能感兴趣的:(优秀博文)