订阅数:109313写在合作终止的半个小时
首先,我代表Codefense(Bug.Center.Team)对于这一个月内连续两次XSS漏洞的问题,我们深感抱歉。我个人认识zx.asd已经有几年的时间了。从很早就关于ZBlog的发展,当初合作的初衷也是希望Zblog不仅仅在功能上满足大家的需求,也是在安全性可以达到一个更高的台阶。从1.8
Spirit发布开始,我们就尽量的抽取公司空闲时间去针对Zblog进行全面的代码检测工作,而且我们和Zblog的合作完全是属于友情无偿的服务。在代码安全检测方面来说,我们一直以来都是注重代码的SQL注入漏洞、越权漏洞等等,而对于XSS方面的检测研究,因为我分派的工程师本身对于XSS不是很熟悉,从第一个漏洞被发现之后就不停自我加班,也再三跟我反映了有关的情况。我们和80Sec的确有一定的联系,但是国内的安全组织以及安全公司,一直以来都没有一个良好的漏洞信息共享机制,所以导致到我们不知道他们是什么时候发布漏洞,是什么时候提交给官方,而且自从第一次公开漏洞之后,我们就已经跟相关方面进行了交涉,而且也更加抓紧了我们自身的弱点问题。我说以上的话,并非是希望各位用户以及Zblog的全体开发团队成员可以原谅我们的过错,作为代码安全检测方,首先我们没有保证产品的安全是我们的过错,没有跟有关的安全组织进行漏洞信息发布做有关的交涉,也是我们的过错,致使Zblog部分用户因为漏洞被公开而造成入侵,我们深感抱歉。
至于这次合作的终止,我们无话可说,一切的后果我们全部承担。如果有哪位朋友在使用Zblog的过程当中,因为漏洞而导致被入侵的,可以随时通过论坛的信息找到我,我会安排公司的相关人员尽量为大家处理。而Zblog以及Zblog旗下认证的插件,我们还是会继续进行代码安全审计工作。虽然Zblog已经跟我们确认要终止合作,但是作为Zblog忠实支持者,我们还是会继续代码安全审计工作的。再次对这次的事件,深深的说一声对不起。
我们承认我们自身在XSS方面有所欠缺,但是我们真的有努力,今天回公司看到小张眼都红了!真的过意不去,连续几天赶鸭子式的XSS学习,我看他都快晕过去了!
没办法,技术不到位就是要吃亏,只能够怪自己了!
太多事情都是巧合,所以也是有原因的!存在必有因,从这事我们也发现了我们的自身缺点是很多的。以后在无偿合作方面需要更加的注意,责任真的很大。
我不明白是什么迟早,什么是早知道!一切的事情都变得好像如云所云,真的给人看到的是伤感!
分离是我不想看到的,但是却偏偏如此,反而还给我看到了一些更加不想看到的事情,人总是可以借题发挥。
今天菜菜给我一个链接,内容不知道是什么意思,但是却牵动了我的心!当变化出现的时候,变化会带来恶化?
BL你永远都是BCT的BL,不管你说你是退出还是什么!BCT不承认你是退出!退出和功成身退是不一样的概念!
更加没有迟早如此的概念!我还记得你进来的时候说的那番话,我更加记得我们彼此之间的相处!
感谢您的付出和为BCT的贡献!Thx...... The Same To You 剑心!
别人会说BCT是剑心的,或者剑心就是BCT的核心。这个是的确,当我们不再开始对于漏洞有一个执着的追求的时候,
剑心没有放弃漏洞的研究以及公布,而且对于BCT的种种现象给予了一定的意见和评价。
但是我不赞成BCT是剑心的,或者说BCT是剑心为核心!
BCT是属于BCT每一个曾经付出汗水和努力的人,更加多的是属于付出更多的人,包括:剑心和BL!
剑心为BCT付出了很多,他在翻译的时候,付出了很多的心血和时间,我们也看到了他的贡献!
在此,再次感谢剑心,感谢他对于BCT无私的奉献,无私的付出!
BCT是属于任何一个热爱BCT的朋友和热爱BCT的成员!引用苹果的话:“BCT是不会倒的!”最多就是老的离开了,新的进来了!
救助小王越爱心签名活动
王越,一个7岁的小女孩,农民工家的孩子,18个月前被确诊为急性髓系白血病(M2a)。一年多以来,我们付出了很多努力去救助小王越,但我们的力量太有限了,所以我们发起了爱心签名行动。希望能够借助更多的MSN签名让更多的人知道这件事儿,大家一起来帮助这个可怜的孩子。
活动官方首页为:http://helpwy.com
Feedsky的专题页面:http://beta.feedsky.com/wangyue
TAS(地御)网站第三方身份认证系统/服务,是我们Bug.Center.Team的产品,最近没事就把产品的技术白皮书写了出来,虽然不知道是否正确和专业,不过也算是第一次的东西了,希望大家给个意见!
晕死不知道怎么加的附件,看来i170还真的比较麻烦啊
PDF下载
演示录像下载
单一认证下的安全隐患
单一认证登陆模式受到嗅探攻击
TAS双因素认证技术模式
TAS双因素认证技术下受到攻击
Powered by Haiwit
