为何需要支持而非惩罚充满好奇心的安全意识
十几岁的安全研究员比尔·德米尔卡皮最近的报告揭露了学校使用的软件中存在重大漏洞,这确实唤起了我的回忆。记得童年时充满好奇,总爱掀开软件的引擎盖窥探内部构造,想看看一切如何运转,更重要的是——能否将其破坏。数十年来,软件工程师始终致力于产品的持续改进与强化。安全社区(尽管其方法略显嚣张)在发现缺陷与潜在灾难方面发挥着关键作用——最好能在恶意分子得逞之前完成这项工作。
然而问题在于,尽管他发现了漏洞,却只受到轻微的停学处分。而且这还是在他耗尽所有联系公司(富乐特公司)的途径后才发生的。他最终选择了相当公开的方式,以揭露自身与系统的漏洞。尽管多次尝试向富乐特公司发出道德警示,却始终未获回应。另一方面,该软件仍存在严重漏洞,大量学生数据因未加密而极易泄露。
此外,他还排查了另一家公司的软件Blackboard的漏洞。尽管Blackboard的数据至少经过加密处理,但潜在攻击者仍可能访问并窃取数百万条记录。该软件与Forret的产品均在其学校中被使用。
「邪恶的黑客」的说法存在问题。
德米尔卡皮公布了今年的调查结果。德夫币,他那嬉皮士般态度中更顽皮的细节赢得了观众的热烈掌声。确实如此。据报道,福雷特公司最初陷入困境,在获得认可前遭遇重重阻碍,但他们感谢他的努力,采纳其建议采取行动,最终提升了软件安全性,避免了成为数据泄露统计数据的危机。高中毕业后他还将进入罗切斯特理工学院深造,显然正朝着成为高需求安全专家的正确道路前进。
作为安全负责人,我很难不对这种处理方式提出异议。虽然最终事件得以圆满解决,但起初他被当作烦人的剧本小丑对待,被指责在不该插手的地方多管闲事。在谷歌搜索此事件时,会发现某些文章称他为"黑客"(在安全门外汉的认知中,这等于从多方面将他塑造成反派)。实际上,他的方法(以及许多其他方法)都有助于保障数据安全。
我们需要更多这样充满好奇心、聪明机敏、注重安全且能洞察内部运作的人才。而且必须更频繁地开展此类工作。截至7月,仅今年就有超过40亿条记录遭遇恶意数据泄露。8月时尚生活品牌Poshmark的数据泄露事件可能再添5000万条记录。
我们总在犯同样的错误,但更令人担忧的是,这些往往是令人皱眉的简单漏洞,却让我们屡屡失足。
跨站脚本攻击和SQL注入并未消失。
根据报告所述,德米尔卡皮发现有线、Blackboards社区参与软件和Folletts学生信息系统存在跨站脚本(XSS)和SQL注入等常见安全漏洞。这些漏洞自1990年代起就屡被安全专家提及,我们已忍受其存在多年。这些漏洞本该像HypercolorT恤和软盘一样,早已成为遥远的回忆。
然而事实并非如此。此外,显然缺乏足够具备安全意识的开发者来阻止代码被引入。扫描工具和手动代码审查的能力是有限的,而存在着比跨站脚本攻击(XSS)和SQL注入更为复杂的安全问题。在这种情况下,可以更有效地利用这些昂贵且耗时的防护措施。
像比尔·德米尔卡皮这样的人,应当激励开发者编写更高水准的代码。年仅17岁的他,通过在代码提交前就探测并修复威胁向量,成功入侵了两个高流量系统。
游戏化:参与度的关键是什么?
我曾多次撰文探讨开发者为何鲜少参与安全工作,简而言之,这源于组织层面和教育层面都未能有效培养具备安全意识的开发者。当企业投入时间构建重视参与度、奖励贡献的安全文化,并实施能让开发者畅所欲言、持续挑战的激励性培训时,这些棘手的漏洞遗留问题便会逐渐从我们使用的软件中消失。
德米尔卡皮显然对安全领域怀有超出常规的兴趣,他花费大量时间学习恶意软件逆向工程方法、漏洞挖掘技巧,以及如何破坏那些从外部看来完好无损的系统。然而当与他交谈时(以及通过DEF CON的演讲幻灯片),他关于自学经历的表述颇为耐人寻味——他将整个过程游戏化了:
「由于目标是利用学校的软件发现漏洞,我像玩游戏一样自学了大量渗透测试知识,过程非常有趣。」他坦言:「虽然最初是出于求知欲开始研究,但最终发现实际情况远比预想的更糟糕。」
并非所有开发者都希望专注于安全领域,但必须为每位开发者提供培养安全意识的机会。其核心作用在于组织内部——尤其是在管理海量机密数据的组织中——几乎相当于"代码许可"机制。若能让所有开发者在创建代码前修正最基础的安全漏洞,就能在面对蓄意制造混乱的开发者时占据更安全的立场。
对游戏化培训感兴趣吗?请查看《CODERS CONQUER·SECURITY CONQUER系列》。 跨站脚本攻击 以及 SQL注入。
十几岁的安全研究员比尔·德米尔卡皮揭露了学校使用的软件存在重大漏洞,这确实唤起了我的一些回忆。记得童年时充满好奇心,总爱掀开软件的引擎盖窥探内部构造,想弄清楚一切是如何运作的,以及能否将其破坏。
首席执行官、主席和联合创始人
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
十几岁的安全研究员比尔·德米尔卡皮最近的报告揭露了学校使用的软件中存在重大漏洞,这确实唤起了我的回忆。记得童年时充满好奇,总爱掀开软件的引擎盖窥探内部构造,想看看一切如何运转,更重要的是——能否将其破坏。数十年来,软件工程师始终致力于产品的持续改进与强化。安全社区(尽管其方法略显嚣张)在发现缺陷与潜在灾难方面发挥着关键作用——最好能在恶意分子得逞之前完成这项工作。
然而问题在于,尽管他发现了漏洞,却只受到轻微的停学处分。而且这还是在他耗尽所有联系公司(富乐特公司)的途径后才发生的。他最终选择了相当公开的方式,以揭露自身与系统的漏洞。尽管多次尝试向富乐特公司发出道德警示,却始终未获回应。另一方面,该软件仍存在严重漏洞,大量学生数据因未加密而极易泄露。
此外,他还排查了另一家公司的软件Blackboard的漏洞。尽管Blackboard的数据至少经过加密处理,但潜在攻击者仍可能访问并窃取数百万条记录。该软件与Forret的产品均在其学校中被使用。
「邪恶的黑客」的说法存在问题。
德米尔卡皮公布了今年的调查结果。德夫币,他那嬉皮士般态度中更顽皮的细节赢得了观众的热烈掌声。确实如此。据报道,福雷特公司最初陷入困境,在获得认可前遭遇重重阻碍,但他们感谢他的努力,采纳其建议采取行动,最终提升了软件安全性,避免了成为数据泄露统计数据的危机。高中毕业后他还将进入罗切斯特理工学院深造,显然正朝着成为高需求安全专家的正确道路前进。
作为安全负责人,我很难不对这种处理方式提出异议。虽然最终事件得以圆满解决,但起初他被当作烦人的剧本小丑对待,被指责在不该插手的地方多管闲事。在谷歌搜索此事件时,会发现某些文章称他为"黑客"(在安全门外汉的认知中,这等于从多方面将他塑造成反派)。实际上,他的方法(以及许多其他方法)都有助于保障数据安全。
我们需要更多这样充满好奇心、聪明机敏、注重安全且能洞察内部运作的人才。而且必须更频繁地开展此类工作。截至7月,仅今年就有超过40亿条记录遭遇恶意数据泄露。8月时尚生活品牌Poshmark的数据泄露事件可能再添5000万条记录。
我们总在犯同样的错误,但更令人担忧的是,这些往往是令人皱眉的简单漏洞,却让我们屡屡失足。
跨站脚本攻击和SQL注入并未消失。
根据报告所述,德米尔卡皮发现有线、Blackboards社区参与软件和Folletts学生信息系统存在跨站脚本(XSS)和SQL注入等常见安全漏洞。这些漏洞自1990年代起就屡被安全专家提及,我们已忍受其存在多年。这些漏洞本该像HypercolorT恤和软盘一样,早已成为遥远的回忆。
然而事实并非如此。此外,显然缺乏足够具备安全意识的开发者来阻止代码被引入。扫描工具和手动代码审查的能力是有限的,而存在着比跨站脚本攻击(XSS)和SQL注入更为复杂的安全问题。在这种情况下,可以更有效地利用这些昂贵且耗时的防护措施。
像比尔·德米尔卡皮这样的人,应当激励开发者编写更高水准的代码。年仅17岁的他,通过在代码提交前就探测并修复威胁向量,成功入侵了两个高流量系统。
游戏化:参与度的关键是什么?
我曾多次撰文探讨开发者为何鲜少参与安全工作,简而言之,这源于组织层面和教育层面都未能有效培养具备安全意识的开发者。当企业投入时间构建重视参与度、奖励贡献的安全文化,并实施能让开发者畅所欲言、持续挑战的激励性培训时,这些棘手的漏洞遗留问题便会逐渐从我们使用的软件中消失。
德米尔卡皮显然对安全领域怀有超出常规的兴趣,他花费大量时间学习恶意软件逆向工程方法、漏洞挖掘技巧,以及如何破坏那些从外部看来完好无损的系统。然而当与他交谈时(以及通过DEF CON的演讲幻灯片),他关于自学经历的表述颇为耐人寻味——他将整个过程游戏化了:
「由于目标是利用学校的软件发现漏洞,我像玩游戏一样自学了大量渗透测试知识,过程非常有趣。」他坦言:「虽然最初是出于求知欲开始研究,但最终发现实际情况远比预想的更糟糕。」
并非所有开发者都希望专注于安全领域,但必须为每位开发者提供培养安全意识的机会。其核心作用在于组织内部——尤其是在管理海量机密数据的组织中——几乎相当于"代码许可"机制。若能让所有开发者在创建代码前修正最基础的安全漏洞,就能在面对蓄意制造混乱的开发者时占据更安全的立场。
对游戏化培训感兴趣吗?请查看《CODERS CONQUER·SECURITY CONQUER系列》。 跨站脚本攻击 以及 SQL注入。
十几岁的安全研究员比尔·德米尔卡皮最近的报告揭露了学校使用的软件中存在重大漏洞,这确实唤起了我的回忆。记得童年时充满好奇,总爱掀开软件的引擎盖窥探内部构造,想看看一切如何运转,更重要的是——能否将其破坏。数十年来,软件工程师始终致力于产品的持续改进与强化。安全社区(尽管其方法略显嚣张)在发现缺陷与潜在灾难方面发挥着关键作用——最好能在恶意分子得逞之前完成这项工作。
然而问题在于,尽管他发现了漏洞,却只受到轻微的停学处分。而且这还是在他耗尽所有联系公司(富乐特公司)的途径后才发生的。他最终选择了相当公开的方式,以揭露自身与系统的漏洞。尽管多次尝试向富乐特公司发出道德警示,却始终未获回应。另一方面,该软件仍存在严重漏洞,大量学生数据因未加密而极易泄露。
此外,他还排查了另一家公司的软件Blackboard的漏洞。尽管Blackboard的数据至少经过加密处理,但潜在攻击者仍可能访问并窃取数百万条记录。该软件与Forret的产品均在其学校中被使用。
「邪恶的黑客」的说法存在问题。
德米尔卡皮公布了今年的调查结果。德夫币,他那嬉皮士般态度中更顽皮的细节赢得了观众的热烈掌声。确实如此。据报道,福雷特公司最初陷入困境,在获得认可前遭遇重重阻碍,但他们感谢他的努力,采纳其建议采取行动,最终提升了软件安全性,避免了成为数据泄露统计数据的危机。高中毕业后他还将进入罗切斯特理工学院深造,显然正朝着成为高需求安全专家的正确道路前进。
作为安全负责人,我很难不对这种处理方式提出异议。虽然最终事件得以圆满解决,但起初他被当作烦人的剧本小丑对待,被指责在不该插手的地方多管闲事。在谷歌搜索此事件时,会发现某些文章称他为"黑客"(在安全门外汉的认知中,这等于从多方面将他塑造成反派)。实际上,他的方法(以及许多其他方法)都有助于保障数据安全。
我们需要更多这样充满好奇心、聪明机敏、注重安全且能洞察内部运作的人才。而且必须更频繁地开展此类工作。截至7月,仅今年就有超过40亿条记录遭遇恶意数据泄露。8月时尚生活品牌Poshmark的数据泄露事件可能再添5000万条记录。
我们总在犯同样的错误,但更令人担忧的是,这些往往是令人皱眉的简单漏洞,却让我们屡屡失足。
跨站脚本攻击和SQL注入并未消失。
根据报告所述,德米尔卡皮发现有线、Blackboards社区参与软件和Folletts学生信息系统存在跨站脚本(XSS)和SQL注入等常见安全漏洞。这些漏洞自1990年代起就屡被安全专家提及,我们已忍受其存在多年。这些漏洞本该像HypercolorT恤和软盘一样,早已成为遥远的回忆。
然而事实并非如此。此外,显然缺乏足够具备安全意识的开发者来阻止代码被引入。扫描工具和手动代码审查的能力是有限的,而存在着比跨站脚本攻击(XSS)和SQL注入更为复杂的安全问题。在这种情况下,可以更有效地利用这些昂贵且耗时的防护措施。
像比尔·德米尔卡皮这样的人,应当激励开发者编写更高水准的代码。年仅17岁的他,通过在代码提交前就探测并修复威胁向量,成功入侵了两个高流量系统。
游戏化:参与度的关键是什么?
我曾多次撰文探讨开发者为何鲜少参与安全工作,简而言之,这源于组织层面和教育层面都未能有效培养具备安全意识的开发者。当企业投入时间构建重视参与度、奖励贡献的安全文化,并实施能让开发者畅所欲言、持续挑战的激励性培训时,这些棘手的漏洞遗留问题便会逐渐从我们使用的软件中消失。
德米尔卡皮显然对安全领域怀有超出常规的兴趣,他花费大量时间学习恶意软件逆向工程方法、漏洞挖掘技巧,以及如何破坏那些从外部看来完好无损的系统。然而当与他交谈时(以及通过DEF CON的演讲幻灯片),他关于自学经历的表述颇为耐人寻味——他将整个过程游戏化了:
「由于目标是利用学校的软件发现漏洞,我像玩游戏一样自学了大量渗透测试知识,过程非常有趣。」他坦言:「虽然最初是出于求知欲开始研究,但最终发现实际情况远比预想的更糟糕。」
并非所有开发者都希望专注于安全领域,但必须为每位开发者提供培养安全意识的机会。其核心作用在于组织内部——尤其是在管理海量机密数据的组织中——几乎相当于"代码许可"机制。若能让所有开发者在创建代码前修正最基础的安全漏洞,就能在面对蓄意制造混乱的开发者时占据更安全的立场。
对游戏化培训感兴趣吗?请查看《CODERS CONQUER·SECURITY CONQUER系列》。 跨站脚本攻击 以及 SQL注入。
请点击以下链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
显示报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
十几岁的安全研究员比尔·德米尔卡皮最近的报告揭露了学校使用的软件中存在重大漏洞,这确实唤起了我的回忆。记得童年时充满好奇,总爱掀开软件的引擎盖窥探内部构造,想看看一切如何运转,更重要的是——能否将其破坏。数十年来,软件工程师始终致力于产品的持续改进与强化。安全社区(尽管其方法略显嚣张)在发现缺陷与潜在灾难方面发挥着关键作用——最好能在恶意分子得逞之前完成这项工作。
然而问题在于,尽管他发现了漏洞,却只受到轻微的停学处分。而且这还是在他耗尽所有联系公司(富乐特公司)的途径后才发生的。他最终选择了相当公开的方式,以揭露自身与系统的漏洞。尽管多次尝试向富乐特公司发出道德警示,却始终未获回应。另一方面,该软件仍存在严重漏洞,大量学生数据因未加密而极易泄露。
此外,他还排查了另一家公司的软件Blackboard的漏洞。尽管Blackboard的数据至少经过加密处理,但潜在攻击者仍可能访问并窃取数百万条记录。该软件与Forret的产品均在其学校中被使用。
「邪恶的黑客」的说法存在问题。
德米尔卡皮公布了今年的调查结果。德夫币,他那嬉皮士般态度中更顽皮的细节赢得了观众的热烈掌声。确实如此。据报道,福雷特公司最初陷入困境,在获得认可前遭遇重重阻碍,但他们感谢他的努力,采纳其建议采取行动,最终提升了软件安全性,避免了成为数据泄露统计数据的危机。高中毕业后他还将进入罗切斯特理工学院深造,显然正朝着成为高需求安全专家的正确道路前进。
作为安全负责人,我很难不对这种处理方式提出异议。虽然最终事件得以圆满解决,但起初他被当作烦人的剧本小丑对待,被指责在不该插手的地方多管闲事。在谷歌搜索此事件时,会发现某些文章称他为"黑客"(在安全门外汉的认知中,这等于从多方面将他塑造成反派)。实际上,他的方法(以及许多其他方法)都有助于保障数据安全。
我们需要更多这样充满好奇心、聪明机敏、注重安全且能洞察内部运作的人才。而且必须更频繁地开展此类工作。截至7月,仅今年就有超过40亿条记录遭遇恶意数据泄露。8月时尚生活品牌Poshmark的数据泄露事件可能再添5000万条记录。
我们总在犯同样的错误,但更令人担忧的是,这些往往是令人皱眉的简单漏洞,却让我们屡屡失足。
跨站脚本攻击和SQL注入并未消失。
根据报告所述,德米尔卡皮发现有线、Blackboards社区参与软件和Folletts学生信息系统存在跨站脚本(XSS)和SQL注入等常见安全漏洞。这些漏洞自1990年代起就屡被安全专家提及,我们已忍受其存在多年。这些漏洞本该像HypercolorT恤和软盘一样,早已成为遥远的回忆。
然而事实并非如此。此外,显然缺乏足够具备安全意识的开发者来阻止代码被引入。扫描工具和手动代码审查的能力是有限的,而存在着比跨站脚本攻击(XSS)和SQL注入更为复杂的安全问题。在这种情况下,可以更有效地利用这些昂贵且耗时的防护措施。
像比尔·德米尔卡皮这样的人,应当激励开发者编写更高水准的代码。年仅17岁的他,通过在代码提交前就探测并修复威胁向量,成功入侵了两个高流量系统。
游戏化:参与度的关键是什么?
我曾多次撰文探讨开发者为何鲜少参与安全工作,简而言之,这源于组织层面和教育层面都未能有效培养具备安全意识的开发者。当企业投入时间构建重视参与度、奖励贡献的安全文化,并实施能让开发者畅所欲言、持续挑战的激励性培训时,这些棘手的漏洞遗留问题便会逐渐从我们使用的软件中消失。
德米尔卡皮显然对安全领域怀有超出常规的兴趣,他花费大量时间学习恶意软件逆向工程方法、漏洞挖掘技巧,以及如何破坏那些从外部看来完好无损的系统。然而当与他交谈时(以及通过DEF CON的演讲幻灯片),他关于自学经历的表述颇为耐人寻味——他将整个过程游戏化了:
「由于目标是利用学校的软件发现漏洞,我像玩游戏一样自学了大量渗透测试知识,过程非常有趣。」他坦言:「虽然最初是出于求知欲开始研究,但最终发现实际情况远比预想的更糟糕。」
并非所有开发者都希望专注于安全领域,但必须为每位开发者提供培养安全意识的机会。其核心作用在于组织内部——尤其是在管理海量机密数据的组织中——几乎相当于"代码许可"机制。若能让所有开发者在创建代码前修正最基础的安全漏洞,就能在面对蓄意制造混乱的开发者时占据更安全的立场。
对游戏化培训感兴趣吗?请查看《CODERS CONQUER·SECURITY CONQUER系列》。 跨站脚本攻击 以及 SQL注入。
开始所需的资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
