魚に触れることができません
2019年11月26日には、魚の後に仕事をオフに触れることを待っている、変更のバグを変更するには、オープンミーティング、非常に穏やかな日になるはずでした。携帯電話のメッセージプロンプトが起動音のギャップのニュースをブラシは、私は通常、私は後で荒れた海で釣りを継続するモードを処理する電子メールを受信するために選ぶだろう、電子メールを受け取ったが、メッセージヘッダを見た後、私は、非常に、非常にタッチが荒れた海での釣りであると感じバスケットを突くことを恐れないで何、メッセージのタイトルはこれです:
何?どうやって?私は、手が釣った魚が強くない触れ大きな文字で「国家安全保障」を見て、私は本当に、私は本当に知らない、私は最終的に何をしたか確認するために、メールを開くためにポイント素早く脅迫、とされました私は何をやった、と瞬時に巨大なカウンセリングモードに、息を話すことはありませあえて。
メールプラットフォームを共有する国家情報セキュリティの脆弱性
次のように電子メールを開いた後読み取ります。
メインコピー用:
最近では、国立情報流通プラットフォームのセキュリティの脆弱性(つまり、中国国家の脆弱性データベース、CNVD)が報告を受け、以下の脆弱性情報、SQLインジェクションの脆弱性CNVD-C-2019から195336 Newbeeモールv1.0.0デベロッパーを通知しました。脆弱性がテストされ、真の状況されています。今ブリーフィング、してください助けが組織の脆弱性分析及び処分をする脆弱性。
国家情報セキュリティの脆弱性は、共有プラットフォームのバグを発見し、私は、プロセスを知らせるために早めます。
メッセージの内容を読んだ後、気分は、多くのことを緩和ああ、私はあなたが私の卵をつかむしようと思っていた、それはこのバグは、実際にこの質問は、私はすでに知っていることが判明しました。それは巨大なカウンセリングモード、まだ少しカウンセリングではありませんが、私の不思議の子、いくつかの主要な質問がある場合:
- このバグは深刻ではありませんが、修復された、そして今、メールが、これはどういう意味ですか?
- それは、このような問題が出て突く方法を「国家情報セキュリティの脆弱性のプラットフォームの共有」になりますでしょうか?
- 「国家情報共有プラットフォームのセキュリティの脆弱性、」それは本当ですか?右、だまされているのを恐れてはいけないように?
さて、これらの質問に、荒れた海での釣りは触れていない行き、すぐにもそれがあったか最後にあなたを求める方法によって、それを確認してください。
インとアウト
ここでは私の友人の多くは見ることは非常に好奇心である必要があり、最後にあなたは犬13は、セキュリティ上の脆弱性についても、どのようなバグ、国家情報共有プラットフォームを書きましたか?
モリブデンのMoパニックパニック、我々は、脳卒中の13人がこのビーイングのインとアウトストロークに、早期に開始します。
数ヶ月前、つまり、2019年9月に、私は、オープンソースプラットフォーム、オープンソースプロジェクトのGitHub上で公開しnewbeeモール、newbee-モールプロジェクト(新しい蜂モール)newbeeモールモールを含む電気システム事業の集合であり、オープンソースプロジェクトに基づいたシステムとnewbeeモール管理者モールの背景管理システム、春ブーツ2.Xおよび関連テクノロジー・スタックの開発は数ヶ月のために開いているが、理由は、最近多忙のため、私はあなたに紹介するために持っていなかった、私は従います詳細に春ブーツモールのオープンソースプロジェクトを説明するために、いくつかの記事を仕上げます。
:これらは、それがオープンソースまあであるという理由だけで、確かに小さな問題の多くは、修理に時間がなかったので、何人かの友人は、私に次のように読み、問題をいくつかの問題を与えているがあり、イベントの背景です
これは、オープンソースプロジェクトであるnewbeeモール創刊の、私の友人所与の私のアドバイスは、次のとおりです。SQL文の一部でSQLインジェクションのプロジェクトの危険性があります。私はこの問題は、修理に時間を空にするする準備ができて、そこに置かれ、我々は図から見ることができます見た後さて、この問題は、2019年10月20号に私に置かれ、Iまた、10月23日に問題を修正し、この問題をオフにするには、私はプロジェクトがバグ、修正の事、権利を持っている、これは小さなことだと思いましたか?
しかし、いくつかの予期しない、物事の背後にあるいくつかのものがありました、ありませんこのメッセージは、このメッセージの前に一つのことがあり、私たちは、についてお話したいと思います。
CVE国際安全保障の脆弱性データベース
続行するには。
ちょうどそれを受信する前にこのメッセージが、国内の脆弱性データベースである「国家安全保障の脆弱性情報共有プラットフォーム」を、言って、私が見つかりました。newbeeモールを、SQLインジェクションの問題プロジェクトがあるCVEの公式サイトに登場していること国際的なセキュリティ脆弱性データベースには、このSQLインジェクションの脆弱性が存在します。
CVEは、本件に含まれて、私はそれを見つける方法ですか?
オープンソースプロジェクトは、我々は次のようにこれらはおおよそのページから、オープンソースの倉庫付き合っているそれを通して私たちのチャンネルに入力して、我々はあるプロジェクトの最近の訪問のソースを表示することができます倉庫にあることを知っていました:
プロジェクトのアクセスを懸念、私は時折、ページの一部を見て、サイトのURLおよびロゴは、アクセス統計は、このウェブサイトを介してあります。ある日それ、私は突然、CVEサイトの訪問は、記録されたこれらのレコードで非常に奇妙な非常に奇妙なレコードがあることを発見し、数日という、いくつかの統計レコードが、実際には、最初は、私はCVEがあるかわからない良い一日持っています何を、私はちょうどこのウェブサイトのロゴといくつかの奇妙なと思いますので、ポイントに行きました。
まあ、ポイントが前にもう一度このサイトに含まれて言及したSQLインジェクションの問題の部分を見つけるために行く、とアッシそれは、次の通り:
人々はそれに従事するという考え方とは何ですか?私は思うので、私は単純にすべての後に、小さなバグですが、私は修理の出てきた、そしてあなたがそれをぶら下げに掛かって、ちょうどあなたについてどのように無視され、この事のために気にしませんでした。はい、13犬はとてもふざけています。
なぜこれほどふざけの考え方だった国内およびそれはほとんど彼のズボンを濡らしたときに電子メールの脆弱性データベースを受け取りますか?なぜコントラストがとても大きいのですか?この背後にある最後に道徳的腐敗、あるいは人間性の歪みのですか?
実際には、主な理由はCVEの外国サイトではありません、私は精通していない、と私は気にしませんでした、と私は本当にSQLインジェクションが大騒ぎアウト小さなバグにつながるべきではないと思います。
ただ、私はそれは、国際的なセキュリティ脆弱性データベースもこの抜け穴が含まれています。この電子メールを受信する前に、早ければ月のように、考えることは、このメッセージの後、私は本当に国際皆を失っていた、と本当に面白い十分でありそれは。
国立情報流通プラットフォームのセキュリティ上の脆弱性のメールフォローアップフィードバック
いいえ11月26日に照準バックのさて、レッツ・ライン、私は彼らに送らまた、何人かの友人に送信されたこのメッセージの内容の一部を置くので、私は、そのメッセージの受信後にいくつかの質問をしましたQQグループは、主に、私は非常に危険ではなかったかを知りたい、だけでなく、助言します。
1時間かけて、それを投げる、我々はまた、多くの情報を受け、最終的には組織が真であると結論し、問題が大きくない、修復されている、心配する気にしないでください。
最後にホッと。
最後に、私はまた、問題が修正されたことを知らせるメールがバックアップ、ない心配はなく、彼らの穏やかリマインダーのための国家的な情報共有プラットフォームのセキュリティの脆弱性を与えます。
物事ここで、実際にご質問を持っているか知りたい場合は、少し内容を参照するだけでなく、CVEとCNVD二つの組織を見ることができたときに、この記事の目的を終えたことはキャッチ魚に皆のためで、終了しましたそれは、あなたが私にメッセージを残すことができない、我々は議論を議論することができます。
最後に書かれました
小さなプロモーションを行い、興味のある友人は見ることができ、私は最近、ナゲッツのプラットフォーム上で冊子を発行し、「春ブーツ大規模なオンラインショッピングモールプロジェクト戦闘ガイド」(あなたが購入することができます下のリンクをクリックするか、画像をクリックして割引を8倍)オハイオ州:
ブックレットには、開発の基本を学ぶことだけで春を学習していない、特定のスキルを習得することができますが、他の技術的なフレームワークはまた、あらゆる段階での知識、ディープを展開するために、アカウントに最新の技術動向の使用を取る春ブーツ・テクノロジー・スタックに焦点を当てますブート毛皮はなく、単に、関連する技術スタックの統合春ブーツを学ぶない、そのソースと内部設計原則を知っている、あなたが質の高い学習へのを持っているので、大規模なショッピングモールシステムを構築するために春ブートテクノロジ・スタックを使用することが可能です舞台での経験。アウェイのHello Worldプロジェクトから、だから、両方のプロジェクトの完全な実用的な操作を得ることができることを、あなたはあなたの技術的な深さと給料の仕事を強化するために適切な保護を提供するために、現在のカイ手熱い春ブーツ・テクノロジー・スタックの上にポイントを助けることができます。
これは本物のモールのプロジェクトは、以下のページのプレビューの一部です:
興味のある友人は見ることができます。
そうでない場合は権利が法的責任を予約し、他に示され、再版/ソースがない限り、全ての原作者、転載を歓迎するが、著者の同意なしには、このセクションで宣言されて保持され、見かけ上の位置に元の記事ページへのリンクを指定する必要があります。
私は記事「プログラマの話」私の公共の番号で始まる、13だった、見ていただきありがとうございます。