首页 资讯 安全 查看内容

腾讯0DAY,团队安全测试缺失所致?

2010-7-29 09:12 848 0

摘要:     腾讯QQ今天爆出一个0DAY,聊天记录查看未对HTML和脚本标记做过滤的注射漏洞。     这类漏洞不是什么新玩意的漏洞,关注漏洞...
关键词: 安全 nbsp 漏洞 腾讯 人员 问题 代码 开发 实力 版本

    腾讯QQ今天爆出一个0DAY,聊天记录查看未对HTML和脚本标记做过滤的注射漏洞。     这类漏洞不是什么新玩意的漏洞,关注漏洞的人知道,从5,6年前,各种位置脚本注射的安全漏洞,在QQ里都出现过,个人昵称,签名,群说明,QQ MAIL,修补来修补去,虽然腾讯作为国内对安全重视度最高的互联网企业,内部安全团队过百人,也只能是今天补完A漏洞,明天出现B漏洞,后天下个版本又出现A漏洞的的怪圈循环。QQ 2010 SP0 还做了严格限制的检测,QQ 2010 SP1却重现问题,问题何在呢?     我觉得或者是开发团队换班,或者主要程序员换班,新开发者缺乏安全意识,未能理解上个版本的限制代码的安全含义,觉得是无效的代码进行了删除。或者是程序大部分代码重写,以前继承的代码做了重大修改,而老的开发人员以前只是遵循安全人员的指示临时加上的检测代码,在新的改写中,没有新的安全人员跟进,给予了删除。     可见现在阶段,即使腾讯这样规模的开发团队,遵循的开发还是:安全问题暴露-〉安全人员指导开发人员修复,但是开发人员既不理解也缺乏安全能力,新版本中,人员一改组,代码一改变,安全问题又重现,而安全人员又缺乏对历史的安全问题的追踪和安全测试的能力,导致问题重复出现,难以从根本性上去改进安全问题,更别说推进SDL了。而建立安全测试过程,追踪历史漏洞并对新版本进行追踪测试,是提高产品安全质量改进过程的第一步。     腾讯是有名的把软件当服务来做的公司,做技术拼的是硬实力,做服务拼的是软硬综合实力,安全问题既涉及到安全意识,安全过程,安全管理的软实力,也涉及到安全能力的硬实力。作为国内互联网软件的领头羊,希望腾讯能对安全测试有足够的重视。
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系 [邮箱地址] 删除

路过

雷人

握手

鲜花

鸡蛋

最新评论

返回顶部