遇到這樣的程序員,你怎麼辦?

        此文沒什麼價值,純屬發牢騷而已！~時間很少的朋友就不要往下看了！

 

        我不知道其它的運維人員或者是安全人員對上線的web項目是否作安全檢測！反正我是沒有這個習慣。我拿的只是運維的工資，我我負責的只是服務器的運行維護，和操做系統的安全性保證！若是程序員寫的程序每一個都要讓運維來作安全檢測的話，那還要程序員幹什麼？還要測試工程師幹什麼？我不知道其它的運維人員有沒有遇到這樣的新鮮事，如今我來說一講我遇到的。

 

        今天早上一到單位，閒着沒事，作了次服務器的例行檢查。忽然發現一臺服務器的管理員賬號被克隆了。靠，不該該啊！硬防靜默了全部的端口，外部***基本上不可能啊！接下來開始查比較常規的系統漏洞，目錄權限和端口等。肯定一切都沒有問題後，開始把目標轉向web應用。四五個應用，還跑了個VM。沒辦法，查吧！結果發現一個項目，真的是至關傻，至關和諧了！直接輸入域名，沒問題。當在域名後加上index.aspx。好嘛！直接進後臺了，連驗證都沒有！看了看後臺，更吃驚了，有個上傳模塊，沒有驗證文件類型，甚至連擴展名都沒有驗證！我地神吶，這不要了我命嗎？

       

        這臺服務器是歸屬於某部門的，因爲只有一臺，因此db和web沒有分離。而且爲了內部傳輸文件方便，還裝了serv-u，更不巧的是他們還申請了開放外部ftp端口！思路不用理順，都很清晰，webshell上去，serv-u提權，反彈***裝上，好了，系統權限拿到！沒什麼好說的，迅速上報，領導讓我直接去找負責這個項目的人說明狀況！到程序員那一說，好嘛，人家來了句：沒事，那個我知道，我加上就行了。靠，知道你不早加上！故意整我不是？（固然這話沒說出來）能忍則忍了！一個小時後，電話告訴我，改好了。我把他們的站點開放，安全起見，又看了一下。結果呢，仍是沒有登陸驗證，只是把我提示他的，上傳模塊加了個驗證，直接輸入index.aspx進去的，仍是沒有登陸驗證，首頁的探針依然顯示，無奈了！最後找來他們主管，直接把網站停掉，告訴他們，何時大家本身測試好了，再來找我！我就是個運維的，沒有義務，更沒有時間去教你寫程序！

 

        要是你遇到了這樣的程序員，你怎麼收拾他？