离职的时候发现自己的代码有漏洞?(Zero团队找到iMessage新漏洞?)

2023-12-27 26阅读

离职的时候发现自己的代码有漏洞?

从职业道德来讲,可以把这些漏洞信息说给你的交接人或者上司,有句话叫好聚好散,可能很多人都会觉得已经离职了,干嘛还要多此一举,离开已经和你没有任何关系了。混职场其实和做人一样的道理,人都会走背字的时候,不要时时刻刻把自己的路给堵死了,留下一个良好的印象对于别人和自己都是一件很愉快的事情,这个世界上虽然看上去很大但凑巧的事情的确很多,算是给自己做个积德的事情。

从代码的角度来讲,自己认识到出现问题了,及时的去修正也是作为一个程序员的基本素质,一般的老程序员都有这种感受,之前写的代码重新拿过来再去研究发现又会有新的知识点,每隔一段时间去审视下代码几乎每次都有一定的感受,其实这就是编程水平不停提高的一种表现,如果自己本身发现了代码的漏洞,证明了自己的理解又上了一个台阶,是一件很不错的事情,如果这个漏洞告诉了交接人,也算是给自己的代码一个圆满的归宿。

离职的时候发现自己的代码有漏洞?(Zero团队找到iMessage新漏洞?)

在实际写代码过程中如何减少代码漏洞的出现,作为一个写了十几年代码的老程序员总结出以下

四种解决方案:

1.在模块设计之初,就要把里面的来龙去脉搞清楚,数据结构的设计上一定要留出足够的时间

2.在写代码之前就要把可能会出现的漏洞在自己的大脑中过滤一遍,避免低级的错误出现。

3.写过的代码模块一定要加上单元测试,来测试代码的稳定性

4.写过的代码最好找个水平相当的帮你审核下,看看有没有明显的漏洞

基于以上四点能很好的避免出现代码的漏洞,要想写的代码一点漏洞也么有不是一件现实的事情,所以代码漏洞主要影响因素,一个是基本功,一个是框架思想,设计的模块就容易暴露漏洞,所以相对来讲有经验的老程序员代码的质量会高很多,熟能生巧,多看多练才是关键。

希望能帮到你。

Zero团队找到iMessage新漏洞?

在 iMessage 中输入特定的字符串,并将其发送给其他人,可能会引发一些奇怪的事情。

我们曾在过去报道过多次这样的偶然发现,万幸苹果通常会很快完成 bug 修补,并发布软件更新。

不过近日,谷歌 Project Zero 团队曝光了又一个重大的 iMessage 漏洞。若收到一组特定的字符,你的 iPhone 可能会变得一团糟。

【图自:Apple,via BGR】

这个 bug 会导致受害者的 iPhone 被锁定,唯一的解决方案就是恢复出厂设置,意味着你将无法恢复未保存的丢失数据。

早在 4 月中旬,谷歌 Project Zero 研究员 Natalie Silvanovich 就已经发现了这个漏洞,并解释称其只会影响 iOS 设备。

在 Mac 上,这个 bug 会导致 soagent 崩溃重启。但在 iPhone 上,该代码位于 Springboard 中。

收到此消息,将导致 Springboard 不停崩溃重启,导致 UI 无法显示、直至手机停止了对输入的响应。

即便经过了硬件重置,该问题依然存在,一旦解锁就会导致手机无法使用。

结果唯一的解决方案,就是重启进入恢复模式,但出厂复位后会丢失设备上所有未保存的数据。

若用户手上的 iPhone 运行的是 iOS 12.3 之前的版本,他们会在面对该问题时束手无策。

此前的类似 bug,顶多导致手机变卡、或使应用程序崩溃,但至少可以在大多数情况下修复问题,而不丢失任何数据。

不过这一次,用户必须进行完整的出厂重置,才能避免陷入无限的循环,意味着任何尚未备份到 iCloud 或计算机上的数据都将丢失。

【图 via ChromeBlog / Project Zero】

为防止问题再次发生,请在初次设置手机时移除 SIM 卡并关闭 Wi-Fi,并参考以下操作:

(1)通过‘查找我的 iPhone’擦除手机数据;

(2)将 iPhone 设置为恢复模式,并通过 iTunes 获取更新(强制安装最新版系统);

(3)取出 SIM 卡、关闭 Wi-Fi,并在菜单中选择擦除手机数据。

值得庆幸的是,苹果已经在 iOS 12.3 中修复了这个问题。

这意味着您只需更新到最新的稳定版 iOS 系统(或 iOS 13 测试版),都不会有这样的烦恼。

有没有APP安全检测平台或者工具?

APP安全的检测确实很重要,很多开发者的app往往含有很多编码漏洞,现在都会进行代码检测来看出这些漏洞,目前也有一些免费的在线app安全监测平台,比如爱加密,它漏洞分析检测服务就是免费的,希望帮到你!

如何才能请到白帽子帮忙检查网站漏洞?

网络上有一些第三方平台,例如补天漏洞白帽平台、漏洞盒子、漏洞银行等。

白帽子的测试分为黑盒测试和白盒测试,大部门白帽子在第三方漏洞平台里进行的是黑盒测试。

白盒测试是白帽子在可以看到web网站上的全部代码,对页代码进行审计测试,前提是有源代码。

黑盒测试是白帽子在没有源代码的情况下进行渗透测试,偏向于黑客入侵的模式,也更容易解决暴露在外的问题。

如果你特别关心这个安全问题,还是需要聘请专门的网络安全从业者来进行完整的白盒测试,这样会从根本上解决问题,出现漏洞的概率会很小。

可以去第三方平台,也可以在一些招聘网站上聘请。
文章版权声明:除非注明,否则均为游侠云资讯原创文章,转载或复制请以超链接形式并注明出处。

目录[+]