为何需要支持而非惩罚充满好奇心的安全意识
十几岁的安全研究员比尔·德米尔卡皮最近的报告揭露了学校使用的软件中存在重大漏洞,这确实唤起了我的回忆。记得童年时充满好奇,总爱掀开软件的引擎盖窥探内部构造,想看看一切如何运转,更重要的是——能否将其破坏。数十年来,软件工程师始终致力于产品的持续改进与强化。安全社区(尽管其方法略显嚣张)在发现缺陷与潜在灾难方面发挥着关键作用——最好能在恶意分子得逞之前完成这项工作。
然而问题在于,尽管他发现了漏洞,却只受到轻微的停学处分。而且这还是在他耗尽所有联系公司(富乐特公司)的途径后才发生的。他最终选择了相当公开的方式,以揭露自身与系统的漏洞。尽管多次尝试向富乐特公司发出道德警示,却始终未获回应。另一方面,该软件仍存在严重漏洞,大量学生数据因未加密而极易泄露。
此外,他还排查了另一家公司的软件Blackboard的漏洞。尽管Blackboard的数据至少经过加密处理,但潜在攻击者仍可能访问并窃取数百万条记录。该软件与Forret的产品均在其学校中被使用。
「邪恶的黑客」的说法存在问题。
德米尔卡皮公布了今年的调查结果。德夫币,他那嬉皮士般态度中更顽皮的细节赢得了观众的热烈掌声。确实如此。据报道,福雷特公司最初陷入困境,在获得认可前遭遇重重阻碍,但他们感谢他的努力,采纳其建议采取行动,最终提升了软件安全性,避免了成为数据泄露统计数据的危机。高中毕业后他还将进入罗切斯特理工学院深造,显然正朝着成为高需求安全专家的正确道路前进。
作为安全负责人,我很难不对这种处理方式提出异议。虽然最终事件得以圆满解决,但起初他被当作烦人的剧本小丑对待,被指责在不该插手的地方多管闲事。在谷歌搜索此事件时,会发现某些文章称他为"黑客"(在安全门外汉的认知中,这等于从多方面将他塑造成反派)。实际上,他的方法(以及许多其他方法)都有助于保障数据安全。
我们需要更多这样充满好奇心、聪明机敏、注重安全且能洞察内部运作的人才。而且必须更频繁地开展此类工作。截至7月,仅今年就有超过40亿条记录遭遇恶意数据泄露。8月时尚生活品牌Poshmark的数据泄露事件可能再添5000万条记录。
我们总在犯同样的错误,但更令人担忧的是,这些往往是令人皱眉的简单漏洞,却让我们屡屡失足。
跨站脚本攻击和SQL注入并未消失。
根据报告所述,德米尔卡皮发现有线、Blackboards社区参与软件和Folletts学生信息系统存在跨站脚本(XSS)和SQL注入等常见安全漏洞。这些漏洞自1990年代起就屡被安全专家提及,我们已忍受其存在多年。这些漏洞本该像HypercolorT恤和软盘一样,早已成为遥远的回忆。
然而事实并非如此。此外,显然缺乏足够具备安全意识的开发者来阻止代码被引入。扫描工具和手动代码审查的能力是有限的,而存在着比跨站脚本攻击(XSS)和SQL注入更为复杂的安全问题。在这种情况下,可以更有效地利用这些昂贵且耗时的防护措施。
像比尔·德米尔卡皮这样的人,应当激励开发者编写更高水准的代码。年仅17岁的他,通过在代码提交前就探测并修复威胁向量,成功入侵了两个高流量系统。
游戏化:参与度的关键是什么?
我曾多次撰文探讨开发者为何鲜少参与安全工作,简而言之,这源于组织层面和教育层面都未能有效培养具备安全意识的开发者。当企业投入时间构建重视参与度、奖励贡献的安全文化,并实施能让开发者畅所欲言、持续挑战的激励性培训时,这些棘手的漏洞遗留问题便会逐渐从我们使用的软件中消失。
德米尔卡皮显然对安全领域怀有超出常规的兴趣,他花费大量时间学习恶意软件逆向工程方法、漏洞挖掘技巧,以及如何破坏那些从外部看来完好无损的系统。然而当与他交谈时(以及通过DEF CON的演讲幻灯片),他关于自学经历的表述颇为耐人寻味——他将整个过程游戏化了:
「由于目标是利用学校的软件发现漏洞,我像玩游戏一样自学了大量渗透测试知识,过程非常有趣。」他坦言:「虽然最初是出于求知欲开始研究,但最终发现实际情况远比预想的更糟糕。」
并非所有开发者都希望专注于安全领域,但必须为每位开发者提供培养安全意识的机会。其核心作用在于组织内部——尤其是在管理海量机密数据的组织中——几乎相当于"代码许可"机制。若能让所有开发者在创建代码前修正最基础的安全漏洞,就能在面对蓄意制造混乱的开发者时占据更安全的立场。
对游戏化培训感兴趣吗?请查看《CODERS CONQUER·SECURITY CONQUER系列》。 跨站脚本攻击 以及 SQL注入。
十几岁的安全研究员比尔·德米尔卡皮揭露了学校使用的软件存在重大漏洞,这确实唤起了我的一些回忆。记得童年时充满好奇心,总爱掀开软件的引擎盖窥探内部构造,想弄清楚一切是如何运作的,以及能否将其破坏。
首席执行官、主席和联合创始人
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
十几岁的安全研究员比尔·德米尔卡皮最近的报告揭露了学校使用的软件中存在重大漏洞,这确实唤起了我的回忆。记得童年时充满好奇,总爱掀开软件的引擎盖窥探内部构造,想看看一切如何运转,更重要的是——能否将其破坏。数十年来,软件工程师始终致力于产品的持续改进与强化。安全社区(尽管其方法略显嚣张)在发现缺陷与潜在灾难方面发挥着关键作用——最好能在恶意分子得逞之前完成这项工作。
然而问题在于,尽管他发现了漏洞,却只受到轻微的停学处分。而且这还是在他耗尽所有联系公司(富乐特公司)的途径后才发生的。他最终选择了相当公开的方式,以揭露自身与系统的漏洞。尽管多次尝试向富乐特公司发出道德警示,却始终未获回应。另一方面,该软件仍存在严重漏洞,大量学生数据因未加密而极易泄露。
此外,他还排查了另一家公司的软件Blackboard的漏洞。尽管Blackboard的数据至少经过加密处理,但潜在攻击者仍可能访问并窃取数百万条记录。该软件与Forret的产品均在其学校中被使用。
「邪恶的黑客」的说法存在问题。
德米尔卡皮公布了今年的调查结果。德夫币,他那嬉皮士般态度中更顽皮的细节赢得了观众的热烈掌声。确实如此。据报道,福雷特公司最初陷入困境,在获得认可前遭遇重重阻碍,但他们感谢他的努力,采纳其建议采取行动,最终提升了软件安全性,避免了成为数据泄露统计数据的危机。高中毕业后他还将进入罗切斯特理工学院深造,显然正朝着成为高需求安全专家的正确道路前进。
作为安全负责人,我很难不对这种处理方式提出异议。虽然最终事件得以圆满解决,但起初他被当作烦人的剧本小丑对待,被指责在不该插手的地方多管闲事。在谷歌搜索此事件时,会发现某些文章称他为"黑客"(在安全门外汉的认知中,这等于从多方面将他塑造成反派)。实际上,他的方法(以及许多其他方法)都有助于保障数据安全。
我们需要更多这样充满好奇心、聪明机敏、注重安全且能洞察内部运作的人才。而且必须更频繁地开展此类工作。截至7月,仅今年就有超过40亿条记录遭遇恶意数据泄露。8月时尚生活品牌Poshmark的数据泄露事件可能再添5000万条记录。
我们总在犯同样的错误,但更令人担忧的是,这些往往是令人皱眉的简单漏洞,却让我们屡屡失足。
跨站脚本攻击和SQL注入并未消失。
根据报告所述,德米尔卡皮发现有线、Blackboards社区参与软件和Folletts学生信息系统存在跨站脚本(XSS)和SQL注入等常见安全漏洞。这些漏洞自1990年代起就屡被安全专家提及,我们已忍受其存在多年。这些漏洞本该像HypercolorT恤和软盘一样,早已成为遥远的回忆。
然而事实并非如此。此外,显然缺乏足够具备安全意识的开发者来阻止代码被引入。扫描工具和手动代码审查的能力是有限的,而存在着比跨站脚本攻击(XSS)和SQL注入更为复杂的安全问题。在这种情况下,可以更有效地利用这些昂贵且耗时的防护措施。
像比尔·德米尔卡皮这样的人,应当激励开发者编写更高水准的代码。年仅17岁的他,通过在代码提交前就探测并修复威胁向量,成功入侵了两个高流量系统。
游戏化:参与度的关键是什么?
我曾多次撰文探讨开发者为何鲜少参与安全工作,简而言之,这源于组织层面和教育层面都未能有效培养具备安全意识的开发者。当企业投入时间构建重视参与度、奖励贡献的安全文化,并实施能让开发者畅所欲言、持续挑战的激励性培训时,这些棘手的漏洞遗留问题便会逐渐从我们使用的软件中消失。
德米尔卡皮显然对安全领域怀有超出常规的兴趣,他花费大量时间学习恶意软件逆向工程方法、漏洞挖掘技巧,以及如何破坏那些从外部看来完好无损的系统。然而当与他交谈时(以及通过DEF CON的演讲幻灯片),他关于自学经历的表述颇为耐人寻味——他将整个过程游戏化了:
「由于目标是利用学校的软件发现漏洞,我像玩游戏一样自学了大量渗透测试知识,过程非常有趣。」他坦言:「虽然最初是出于求知欲开始研究,但最终发现实际情况远比预想的更糟糕。」
并非所有开发者都希望专注于安全领域,但必须为每位开发者提供培养安全意识的机会。其核心作用在于组织内部——尤其是在管理海量机密数据的组织中——几乎相当于"代码许可"机制。若能让所有开发者在创建代码前修正最基础的安全漏洞,就能在面对蓄意制造混乱的开发者时占据更安全的立场。
对游戏化培训感兴趣吗?请查看《CODERS CONQUER·SECURITY CONQUER系列》。 跨站脚本攻击 以及 SQL注入。
十几岁的安全研究员比尔·德米尔卡皮最近的报告揭露了学校使用的软件中存在重大漏洞,这确实唤起了我的回忆。记得童年时充满好奇,总爱掀开软件的引擎盖窥探内部构造,想看看一切如何运转,更重要的是——能否将其破坏。数十年来,软件工程师始终致力于产品的持续改进与强化。安全社区(尽管其方法略显嚣张)在发现缺陷与潜在灾难方面发挥着关键作用——最好能在恶意分子得逞之前完成这项工作。
然而问题在于,尽管他发现了漏洞,却只受到轻微的停学处分。而且这还是在他耗尽所有联系公司(富乐特公司)的途径后才发生的。他最终选择了相当公开的方式,以揭露自身与系统的漏洞。尽管多次尝试向富乐特公司发出道德警示,却始终未获回应。另一方面,该软件仍存在严重漏洞,大量学生数据因未加密而极易泄露。
此外,他还排查了另一家公司的软件Blackboard的漏洞。尽管Blackboard的数据至少经过加密处理,但潜在攻击者仍可能访问并窃取数百万条记录。该软件与Forret的产品均在其学校中被使用。
「邪恶的黑客」的说法存在问题。
德米尔卡皮公布了今年的调查结果。德夫币,他那嬉皮士般态度中更顽皮的细节赢得了观众的热烈掌声。确实如此。据报道,福雷特公司最初陷入困境,在获得认可前遭遇重重阻碍,但他们感谢他的努力,采纳其建议采取行动,最终提升了软件安全性,避免了成为数据泄露统计数据的危机。高中毕业后他还将进入罗切斯特理工学院深造,显然正朝着成为高需求安全专家的正确道路前进。
作为安全负责人,我很难不对这种处理方式提出异议。虽然最终事件得以圆满解决,但起初他被当作烦人的剧本小丑对待,被指责在不该插手的地方多管闲事。在谷歌搜索此事件时,会发现某些文章称他为"黑客"(在安全门外汉的认知中,这等于从多方面将他塑造成反派)。实际上,他的方法(以及许多其他方法)都有助于保障数据安全。
我们需要更多这样充满好奇心、聪明机敏、注重安全且能洞察内部运作的人才。而且必须更频繁地开展此类工作。截至7月,仅今年就有超过40亿条记录遭遇恶意数据泄露。8月时尚生活品牌Poshmark的数据泄露事件可能再添5000万条记录。
我们总在犯同样的错误,但更令人担忧的是,这些往往是令人皱眉的简单漏洞,却让我们屡屡失足。
跨站脚本攻击和SQL注入并未消失。
根据报告所述,德米尔卡皮发现有线、Blackboards社区参与软件和Folletts学生信息系统存在跨站脚本(XSS)和SQL注入等常见安全漏洞。这些漏洞自1990年代起就屡被安全专家提及,我们已忍受其存在多年。这些漏洞本该像HypercolorT恤和软盘一样,早已成为遥远的回忆。
然而事实并非如此。此外,显然缺乏足够具备安全意识的开发者来阻止代码被引入。扫描工具和手动代码审查的能力是有限的,而存在着比跨站脚本攻击(XSS)和SQL注入更为复杂的安全问题。在这种情况下,可以更有效地利用这些昂贵且耗时的防护措施。
像比尔·德米尔卡皮这样的人,应当激励开发者编写更高水准的代码。年仅17岁的他,通过在代码提交前就探测并修复威胁向量,成功入侵了两个高流量系统。
游戏化:参与度的关键是什么?
我曾多次撰文探讨开发者为何鲜少参与安全工作,简而言之,这源于组织层面和教育层面都未能有效培养具备安全意识的开发者。当企业投入时间构建重视参与度、奖励贡献的安全文化,并实施能让开发者畅所欲言、持续挑战的激励性培训时,这些棘手的漏洞遗留问题便会逐渐从我们使用的软件中消失。
德米尔卡皮显然对安全领域怀有超出常规的兴趣,他花费大量时间学习恶意软件逆向工程方法、漏洞挖掘技巧,以及如何破坏那些从外部看来完好无损的系统。然而当与他交谈时(以及通过DEF CON的演讲幻灯片),他关于自学经历的表述颇为耐人寻味——他将整个过程游戏化了:
「由于目标是利用学校的软件发现漏洞,我像玩游戏一样自学了大量渗透测试知识,过程非常有趣。」他坦言:「虽然最初是出于求知欲开始研究,但最终发现实际情况远比预想的更糟糕。」
并非所有开发者都希望专注于安全领域,但必须为每位开发者提供培养安全意识的机会。其核心作用在于组织内部——尤其是在管理海量机密数据的组织中——几乎相当于"代码许可"机制。若能让所有开发者在创建代码前修正最基础的安全漏洞,就能在面对蓄意制造混乱的开发者时占据更安全的立场。
对游戏化培训感兴趣吗?请查看《CODERS CONQUER·SECURITY CONQUER系列》。 跨站脚本攻击 以及 SQL注入。
请点击以下链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
显示报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
十几岁的安全研究员比尔·德米尔卡皮最近的报告揭露了学校使用的软件中存在重大漏洞,这确实唤起了我的回忆。记得童年时充满好奇,总爱掀开软件的引擎盖窥探内部构造,想看看一切如何运转,更重要的是——能否将其破坏。数十年来,软件工程师始终致力于产品的持续改进与强化。安全社区(尽管其方法略显嚣张)在发现缺陷与潜在灾难方面发挥着关键作用——最好能在恶意分子得逞之前完成这项工作。
然而问题在于,尽管他发现了漏洞,却只受到轻微的停学处分。而且这还是在他耗尽所有联系公司(富乐特公司)的途径后才发生的。他最终选择了相当公开的方式,以揭露自身与系统的漏洞。尽管多次尝试向富乐特公司发出道德警示,却始终未获回应。另一方面,该软件仍存在严重漏洞,大量学生数据因未加密而极易泄露。
此外,他还排查了另一家公司的软件Blackboard的漏洞。尽管Blackboard的数据至少经过加密处理,但潜在攻击者仍可能访问并窃取数百万条记录。该软件与Forret的产品均在其学校中被使用。
「邪恶的黑客」的说法存在问题。
德米尔卡皮公布了今年的调查结果。德夫币,他那嬉皮士般态度中更顽皮的细节赢得了观众的热烈掌声。确实如此。据报道,福雷特公司最初陷入困境,在获得认可前遭遇重重阻碍,但他们感谢他的努力,采纳其建议采取行动,最终提升了软件安全性,避免了成为数据泄露统计数据的危机。高中毕业后他还将进入罗切斯特理工学院深造,显然正朝着成为高需求安全专家的正确道路前进。
作为安全负责人,我很难不对这种处理方式提出异议。虽然最终事件得以圆满解决,但起初他被当作烦人的剧本小丑对待,被指责在不该插手的地方多管闲事。在谷歌搜索此事件时,会发现某些文章称他为"黑客"(在安全门外汉的认知中,这等于从多方面将他塑造成反派)。实际上,他的方法(以及许多其他方法)都有助于保障数据安全。
我们需要更多这样充满好奇心、聪明机敏、注重安全且能洞察内部运作的人才。而且必须更频繁地开展此类工作。截至7月,仅今年就有超过40亿条记录遭遇恶意数据泄露。8月时尚生活品牌Poshmark的数据泄露事件可能再添5000万条记录。
我们总在犯同样的错误,但更令人担忧的是,这些往往是令人皱眉的简单漏洞,却让我们屡屡失足。
跨站脚本攻击和SQL注入并未消失。
根据报告所述,德米尔卡皮发现有线、Blackboards社区参与软件和Folletts学生信息系统存在跨站脚本(XSS)和SQL注入等常见安全漏洞。这些漏洞自1990年代起就屡被安全专家提及,我们已忍受其存在多年。这些漏洞本该像HypercolorT恤和软盘一样,早已成为遥远的回忆。
然而事实并非如此。此外,显然缺乏足够具备安全意识的开发者来阻止代码被引入。扫描工具和手动代码审查的能力是有限的,而存在着比跨站脚本攻击(XSS)和SQL注入更为复杂的安全问题。在这种情况下,可以更有效地利用这些昂贵且耗时的防护措施。
像比尔·德米尔卡皮这样的人,应当激励开发者编写更高水准的代码。年仅17岁的他,通过在代码提交前就探测并修复威胁向量,成功入侵了两个高流量系统。
游戏化:参与度的关键是什么?
我曾多次撰文探讨开发者为何鲜少参与安全工作,简而言之,这源于组织层面和教育层面都未能有效培养具备安全意识的开发者。当企业投入时间构建重视参与度、奖励贡献的安全文化,并实施能让开发者畅所欲言、持续挑战的激励性培训时,这些棘手的漏洞遗留问题便会逐渐从我们使用的软件中消失。
德米尔卡皮显然对安全领域怀有超出常规的兴趣,他花费大量时间学习恶意软件逆向工程方法、漏洞挖掘技巧,以及如何破坏那些从外部看来完好无损的系统。然而当与他交谈时(以及通过DEF CON的演讲幻灯片),他关于自学经历的表述颇为耐人寻味——他将整个过程游戏化了:
「由于目标是利用学校的软件发现漏洞,我像玩游戏一样自学了大量渗透测试知识,过程非常有趣。」他坦言:「虽然最初是出于求知欲开始研究,但最终发现实际情况远比预想的更糟糕。」
并非所有开发者都希望专注于安全领域,但必须为每位开发者提供培养安全意识的机会。其核心作用在于组织内部——尤其是在管理海量机密数据的组织中——几乎相当于"代码许可"机制。若能让所有开发者在创建代码前修正最基础的安全漏洞,就能在面对蓄意制造混乱的开发者时占据更安全的立场。
对游戏化培训感兴趣吗?请查看《CODERS CONQUER·SECURITY CONQUER系列》。 跨站脚本攻击 以及 SQL注入。
%20(1).avif)
.avif)
