程序猿
讲互联网的故事

那些不靠谱的网站服务器扫描公司

说到服务器的安全性,不得不说政府一类的网站是重灾区,多数情况是由于政府机构的服务器维护人员水平有限、技术一般(不排除有高手),更有甚者,即使发现服务器被入侵,但由于没有造成太恶劣的影响,也就睁一只眼闭一只眼。

很多地方的网络安全负责部门(例如公安局网监支队)会不定期的请一些专门做网络安全的公司来扫描政府部门的服务器,给出安全报告,然后下发给各服务器所属的部门负责人进行整改,这原本是件好事情,但遇到一些不靠谱的“安全”公司就很尴尬了。

说他们不靠谱,并不是否定他们的技术,毕竟没有深度接触过安全领域,没有发言权,但好歹我也是个程序猿,最起码的安全常识还是有的。最近有两个朋友拿着像一本书一样的信息安全报告和一份整改通知书找我帮忙,分别是两个不同的事业单位。

我拿着“报告”从头看到尾,也没发现什么漏洞啊、潜在的安全隐患啊之类的东西,但是报告上明确写着“信息泄露”、“Email地址泄露”,而且还注明了有多少行,多少条,写的有模有样,给外行的人一看感觉就像是被扒光了衣服站在大街上一样。但实际上呢,随便打开一个所谓的“信息泄露”的网址一看,就是普通的文章页,随便打开一个所谓的Email地址泄露页面,就是公开的用于报名、投诉或者咨询用的邮件地址。

假设这些安全公司的技术人员不懂技术,那么… … ,这种假设应该不成立,毕竟政府找的公司都是有一定客户案例,手续和资质齐全的。但是为什么能把这种根本就不属于安全隐患的东西写上去呢?我想,应该是这样:

有人出钱请你做安全扫描,该怎么收费呢,肯定是按服务器数量和扫描出的“问题”综合评估吧!那么问题来了,如果这些服务器大多数都没有问题(我是假设),该怎么收费呢?是不是就没有充分的理由抬高价格了,或者是给需求方一种技术一般的印象,下次就不找你了……

我想,大致总是有些上面的原因吧,人家花钱做了这件事,总要有些“效果”,你拿了别人的银子,总得有些“成果”。安全这件事,是很重要,也不是说所有安全公司都有这样的潜规则,毕竟我以前遇到过扫描出很多弱口令、XSS、还有备份文件在可访问目录下等案例。但是,靠忽悠的本领做事不是长久之计,奉劝那些所谓的“安全公司”,请自重!

赞(0) 打赏一下

评论 5

  1. #4

    政府机关单位的钱最好框了,而且是联合了机关单位的相关负责人一起框的,有分成的。

    极客岛3年前 (2016-01-20)回复
  2. #3

    看看!

    195627283年前 (2016-01-03)回复
  3. #2

    说道点子上了

    深圳牙科3年前 (2015-12-29)回复
  4. #1

    你好孙老师,我看了你的视频,买了阿里云服务器,配置是:

    CPU: 1核 内存: 2048 MB
    按量付费带宽:2Mbps
    操作系统: CentOS 6.5 64位

    用wcdp面板,安装的是:WordPress主题,可是在安装主题和插件,点击后出现502 Bad Gateway 改怎么解决呢?还有设置常规出没有确认按钮等,我是技术小白,请问您可以录制可视频分享给我吗?万分感谢!

    王忠梁3年前 (2015-12-28)回复

觉得文章有用就打赏一下博客作者

支付宝扫一扫打赏

微信扫一扫打赏