用的绿盟扫的,改下版本号就没漏洞了,笑死...
第 1 条附言 · 3 天前
按漏扫报告,大于xx版本就行,那像 redhat、suse 这种厂商都没去升级大版本,都采用 backport 的方式
 |
1
Vraw5 3 天前
把版本号编译的时候去掉,就永远没有漏洞了~
|
 |
2
huangsijun17 3 天前  5
难不成,一个一个的 poc 跑过去?先不说一些 poc 需要系统性能、各种环境、触发条件,不少 poc 还有假阳、假阴,怎么判断?
|
 |
3
strobber16 3 天前 via Android 1
他们就姑且一跑,客户就姑且一看。大家都是混口饭吃
|
 |
4
deplives 3 天前 via iPhone
都是为了合规要求 你想让人家真给你白帽子?
|
 |
5
luozic 3 天前
有按漏洞那种扫的,但是那种是付费的。 就是找专业团队来搞渗透
|
 |
6
PopRain 3 天前
直接把你生产系统搞崩? 大部分公开漏洞就是版本相关的,让你升级个版本算了
|
 |
7
bingfengfeifei 3 天前
大家默契一下就行了。漏扫的研发写起来也轻松,你们处理起来也轻松。
像是那种过时框架的漏洞,例如 vue2 的新漏洞,都没人维护了。 要是他真的原理扫描,你不要修吐血吗。官方不管,难道旧业务升级框架。 把版本号隐藏掉一编译就过了 大家都舒服。 要是真要命的漏洞,肯定你自己比审查人员还着急,例如前段时间的 react 那个漏洞 |
 |
8
zed1018 3 天前
@huangsijun17 但是就算是只看版本号,各家 backport 的版本总该记录一下吧。
|
 |
9
taikobo 3 天前 1
感觉软件工程师这个岗位, 真的是只关注代码能不能跑, 对于 security 和 compliance 的认知还停留在很低的水平
在现实世界中, risk 和 benefit 本来就是一对互相矛盾的平衡, 很多时候都是靠 case by case 的分析, 不存在完美的规避所有风险的可能性, 只能说受益大于风险, 风险控制之后, 剩余风险可接受, 就可以了 SSH 固然是一个风险高的点, 但是 SSH 端口是否暴露在公网上, 允许 SSH 登录的用户权限如何, SSH 的服务器存什么数据, 都是考虑的点 我认为看版本号完全是一个可以接受的做法, 谁作为用户自身没事干去魔改版本号欺骗漏洞扫描? 如果你是公司雇员为了过漏洞扫描特意改版本号, 那么严格来说你有几率吃牢饭的, 这已经脱离技术问题变成人的问题了. 此外现实中你也不可能只靠一个漏洞扫描工具作为全部风险控制的手段, 重要的服务定期做渗透测试也是补充手段之一 |
 |
10
sairoa 2 天前
绿盟扫描器,不带 [原理扫描] 的都是根据版本判断的,我们公司在现场负责扫描的同事也被折磨够呛。
|
 |
11
fuckfaker 2 天前
@taikobo 只能说你不懂国内厂商,哈哈哈,我是业内人,为了应对甲方和过测,真就是源码里改版本号,国产系统不止一家这么干,不过甲方一般也都是草台班子,大部分都是弄绿盟这种扫描工具应付一下子
不过也有些有钱的甲方会请专业第三方跑些 Fuzzing 测试,并出具 poc 给我们让我们修 |
 |
13
ShunYea 1 天前
就是这样,低于 9.7p1 的都被报漏洞,搞得我一台台去编译升级到 10.0 版本以上……
|
 |
14
TheBlind 1 天前
|
Select Language