每当早上堵车快要迟到/一不小心起晚了/想买个早饭……等等情况的时候,很多人都想过,要是能够出个虚拟定位打卡的app就好了。
然而现实中,真的就有一家企业开发了能够绕过钉钉打卡系统的虚拟定位服务,而且借此获利近500万元。
No.1
10月8日,北京市海淀区人民法院网站公布了一起破坏计算机信息系统罪的案件刑事判决书。
张某杰从2017年至2019年运营北京得牛科技有限公司,并对开发的大牛助手app进行运营推广。这个app能够干扰钉钉系统的地理位置数据,破坏钉钉系统获取用户真实地理位置的功能。
大牛助手的新注册用户有12小时免费试用时间,包月会员是每月25元,年费会员是每年89元,用户通过支付宝和微信支付,在两年的运营期间内,这家公司通过这个app获利了四五百万元。
该公司的产品经理称,这个app的受众一般是需要上班打卡的上班族和早操打卡的学生。但纸包不住火,这种操作被钉钉用户发现,并反馈给了阿里,该企业经营者也因此被起诉破坏计算机信息系统罪,判处有期徒刑五年六个月。
No.2
这个案件披露之后,有不少网友站在打工人的角度,为这家企业鸣不平。认为既没有入侵钉钉的源码,定价又良心,就这样被取缔了很可惜。
也有人开始担心起自己的工作,询问这种情况参与研发的程序员会不会也有罪。
不过也有人认为,这并非钉钉的问题。因为从根本上来说,没有一个程序可以做到完全没有漏洞,代码都是人写的。
当这个app阻止了钉钉和用户之间正常的数据交换的时候,就已经是侵权了。
站在软件开发和维护的角度来看,钉钉本身没有规避虚拟定位打卡的风险,所以其实这也是一个网络安全和软件测试的问题。
No.3
在大多数人的想象中,网络安全问题距离我们是很遥远的,最多只会让我们联想到电影中的黑客,但那也跟我们普通人没什么关系。
但事实上,网络安全事件包含的范围其实非常广泛,网购信息泄露、游戏账号被盗等等,都属于网络安全的范畴。
现如今,也有越来越多的企业重视网络安全问题。因为企业越大,掌握的信息数据就越多,一旦发生安全事故,造成的经济损失和其他连锁影响就越多。
这也是为什么现在专门针对网络安全问题的安全测试岗位在互联网大厂和各类政企单位中越来越受重视。
与传统的软件测试岗位不同,常规测试以发现软件的bug为目标,这种情况下的bug往往是程序员非主观导致的。
安全测试岗位则是以发现安全隐患为目标,这种隐患是建立在外部恶意攻击的基础上的,安全测试是帮助客户降低安全威胁,减少安全漏洞,本身是一种防护技术。
主要测试的是:
1、应用程序的部署环境(服务器)
操作系统用户名密码强度,操作系统用户、用户组及权限设置,系统漏洞及补丁,系统端口安全,应用部署环境目录及文件安全,防火墙及网络端口设置
2、数据库
数据库服务器版本及漏洞,用户名,密码设置,数据库用户权限设置及授权设置,数据库服务器端口及网络连接设置
3、web应用安全测试
sql注入,表单漏洞,cookie欺骗,session测试,日志文件测试,跨站攻击(ZAP),认证及会话攻击(Hackbar),不安全对象直接引用攻击(Burp),CSRF(Tamper Data)
4、第三方服务及接口
系统/服务版本及漏洞,安全性配置测试,数据传输安全性测试,数据合法性测试,数据完整性测试
No.4
目前在我国,网络安全行业发展前景广阔,也有着非常大的上升空间。
我国互联网产业发展又猛又快,在近几年时间里短期快速发展,高校对各互联网岗位认识不够、培养不到位,开设的课程也达不到相关从业要求。
部分IT培训机构虽然开设有安全测试类课程,但大型企业的安全技术属于敏感保密范畴,大部分培训机构很少能够真正培养为企业所用的安全人才,欠缺网络安全课程的研发能力。
人才输送差额也使得网络安全行业安全测试岗位的薪资水平进一步提高。安全测试岗位起步薪资高,一般是10k-20k,薪资最多的是20k-30k,30-50k的人占到17.6%,一般来说安全测试岗位的薪资主要集中在15K-30K区间内,工资是非常可观的。
因此我们推荐有技术能力和测试能力的同学进一步发展提高自己,向网络安全测试这个前景更好、发展空间更大的方向迈进。
,