Написан инструмент для сканирования уязвимостей.

Ли И начал тест.

Войдите на платформу Hackerone, зарегистрируйте учётную запись, войдите на платформу, перейдите в проект публичного тестирования уязвимостей, инициированный компанией, и получите IP-адрес соответствующего сервера. Затем Ли И запускает свой собственный инструмент для сканирования уязвимостей одним щелчком мыши.

В следующую секунду стремительно появился зелёный поток кода, инструмент сканирования уязвимостей заработал без сбоев, и каждый подмодуль начал анализировать уязвимость сайта.

…

Fenggu Technology, зарегистрированная компания-разработчик программного обеспечения со штаб-квартирой в Мэджик-Сити, стремится содействовать глубокой интеграции информатизации и индустриализации, а также повышать уровень городского интеллекта. Его бизнес охватывает металлургию, транспорт, медицину, химическую промышленность, финансы и другие отрасли, и он глубоко вовлечен в программное обеспечение. В этой области он стремится к обеспечению безопасности программного обеспечения и систем.

Чжан Пейюн, глава научно-технического отдела Fenggu, как и в прошлом, при первой возможности включил компьютер после выхода на работу, проверил свой почтовый ящик, проанализировал ход работы своих подчиненных и спланировал следующий шаг.

Внезапно раздался стук в дверь, прервавший размышления Чжан Пэйюна.

"Войдите!" Чжан Пэйюн поднял глаза и выглянул за дверь.

"Брат Ен, это нехорошо. В проекте Rongcheng Smart Cloud обнаружено множество ошибок. После исправления этих ошибок рабочая нагрузка почти эквивалентна удалению и переделке ". Молодой человек с редкими волосами, Чжао Сяохуэй, толкнул дверь и доложил с грустным лицом.

"Облако мудрости Жунчэн? Какой проект открыт для публичного тестирования на платформе?" Чжан Пэйюн спокойно посмотрел на Чжао Сяохуэя и спросил.

"Да! Мастер обнаружил множество лазеек". Чжао Сяохуэй подтвердил с горьким выражением лица.

Чжан Пэйюн быстро открыл платформу и вошел в систему в фоновом режиме.

В следующий момент серверная часть веб-сайта отображает фрагмент данных об уязвимости, уязвимость RCE, уязвимость SQL-инъекции, уязвимость для взлома учетной записи, CORS, CSRF, утечку исходного кода, ограничение скорости и т.д., всего 227 уязвимостей.

Чжан Пэйюн увидел, как у него онемела кожа головы.

Их так много?

настоящие или поддельные!

Чжан Пэйюн был полон недоверия и нажал на данные об уязвимости RCE.

Эта уязвимость нацелена на целевой поддомен, и его каталог .git был обнаружен при использовании Dirb для разнесения каталога. При использовании углубленного обнаружения параметры POST вызова не фильтровались и не проверялись, и это было связано с уязвимостью удаленного выполнения кода.

Выражение лица Чжана Пейюна стало напряженным, и, согласно приведенному выше описанию уязвимости, он немедленно приступил к тестированию.

Чжан Пейюн положил руки на клавиатуру и произвел серию операций. Вскоре, согласно описанию уязвимости, он напрямую подключился к уязвимости проекта Rongcheng Smart Cloud.

О черт!

Эта лазейка действительно есть.

Чжан Пейюн запаниковал и продолжил тестировать следующую лазейку без всякой веры.

Вскоре Чжан Пейюн продемонстрировал в соответствии с описанием средства обнаружения уязвимостей и успешно получил весь исходный код службы приложений на сайте. Эта уязвимость намного серьезнее предыдущей уязвимости RCE.

Капля холодного пота выступила на лбу Чжан Пэйюна.

Если эта уязвимость не будет обнаружена, то после запуска проекта она будет использована, что серьезно поставит под угрозу безопасность данных клиентов.

Чжан Пэйюн глубоко вздохнул и продолжил искать следующую лазейку.

Это уязвимость для взлома учетной записи. Заменив адрес электронной почты адресом электронной почты другого пользователя, пароль, содержащийся в пакете запроса, может быть использован для замены пароля учетной записи других пользователей. Весь процесс не требует какого-либо механизма проверки.

Чжан Пэйюн постоянно тестировал пять или шесть лазеек, и каждая лазейка была реальной.

очень хорошо!

Чжан Пэйюн был одновременно зол и счастлив, и настроение у него было очень сложным.

Причина его гнева в том, что его техническая команда написала программу с множеством ошибок, которая представляет собой просто кучу мусора.

Причина радости в том, что эти проблемы были выявлены, что позволило избежать их передачи клиентам и возникновения серьёзных скрытых угроз.

«Брат Юн, что ты будешь делать дальше?» — с тревогой спросил Чжао Сяохуэй, глядя на сердитое лицо Чжан Пэйюна.

«Что делать? Что делать! Все помогали нам искать лазейки, почему бы тебе просто не оставить всё как есть? Скажи всем собраться в конференц-зале!» — в отчаянии закричал Чжан Пэй.

«Хорошо!» Чжао Сяохуэй поклонился в ответ и выбежал из кабинета, словно спасаясь бегством.

Чжан Пэйюн встала и поспешила в конференц-зал, чтобы распределить задания по подготовке к экзамену.

Вскоре после этого в конференц-зале раздались всхлипывания программистов.

В течение указанного срока необходимо исправить более 200 лазеек. Огромная рабочая нагрузка и длительная сверхурочная работа, выходные, праздничные дни и т.д., Предназначены для определенного периода времени в будущем. Даже не думай об этом.

Наблюдая, как его подчиненные в отчаянии уходят один за другим, Чжан Пэйюн тоже выглядел печальным. Первоначально он планировал провести выходные со своей дочерью в день ее рождения. Если бы у проекта была такая серьезная проблема, он, ответственный человек, определенно не смог бы уйти.

"Брат Ен, как должен быть вознагражден искатель ошибок? Если будет обнаружено более 200 ошибок, если вознаграждение будет слишком большим, финансовая сторона определенно не одобрит выплату денег ". Чжао Сяохуэй нервно посмотрел на Чжан Пэйюна и попросил инструкций.

Услышав это, лицо Чжан Пэйюна стало еще более уродливым.

Вообще говоря, обнаружение лазейки обычно дает первооткрывателю несколько тысяч или даже десятков тысяч бонусов. Если ее заменят международные гиганты, такие как Microsoft и Apple, и если будет обнаружена серьезная лазейка, они могут даже получить сотни тысяч или даже десятки миллионов бонусов. , устройство по-прежнему остается американским ножом.

Награда в несколько тысяч юаней за ошибку очень мала.

Даже если на лазейку дается всего несколько тысяч, более двухсот лазеек обойдутся почти в миллион. Для компании это большие непредвиденные расходы. Странно, что финансовый менеджер не беспокоит его.

Более того, нужно давать деньги. Этот парень может найти так много лазеек. Он, должно быть, мастер технологий. Кто знает, есть ли у него в руках другие лазейки?

Давать меньше нецелесообразно, и финансы не одобрят, если вы дадите слишком много.

Размышляя над этим вопросом, Чжан Пэйюн был ошеломлен.

"Брат Юн, если все в порядке, я сначала займусь работой!" Видя, что лицо Чжан Пэйюна становится все хуже и хуже, Чжао Сяохуэй поспешно попрощался.

"Подожди минутку, у меня есть для тебя задание". Чжан Пэйюн быстро остановил Чжао Сяохуэя.

Чжао Сяохуэй сделал паузу, изобразив на лице раскаяние, жалея, что не может дать себе пощечину.

Я хочу, чтобы вы рассказали подробнее, сейчас начинается задание!

"Брат Юн, в чем миссия?" Чжао Сяохуэй обернулся и спросил с кривой улыбкой.

"Вы можете связаться с этим экспертом и добиться снижения цены". Чжан Пэйюн договорился.

"Брат Ен, я не умею торговаться! Почему бы тебе не поговорить с ним лично!" Чжао Сяохуэй выглядел смущенным, трудно было сказать.

"Сначала поговори с ним, если не сможешь достичь соглашения, я уйду. Должен быть переходный период, понимаешь?" Чжан Пэйюн посмотрел на Чжао Сяохуэя и напомнил.

"Хорошо! Брат Юн, чего ты ожидаешь от переговоров?" Чжао Сяохуэй кивнул и спросил.

"Конечно, чем меньше, тем лучше. Количество лазеек составляет две или три тысячи, а серьезных - менее десяти тысяч. Попробуйте и посмотрите, сможете ли вы рассказать об этом ". Ответил Чжан Пэйюн.

"Брат Ен, это слишком мало! Может ли он согласиться?" Чжао Сяохуэй почесал в затылке, чувствуя, что эта задача была очень сложной.

"Делайте все возможное! Такие большие расходы, безусловно, будут вычтены из бонуса за проект. Чтобы получить бонус для всех, пожалуйста, делайте все возможное! Я действительно не могу говорить об этом, я расскажу об этом снова ". - подбодрил Чжан Пэйюн.

Когда такой большой горшок разбился вдребезги, Чжао Сяохуэй мгновенно оцепенел, растерялся и каким-то образом вышел из конференц-зала.