本來應該是日複一日無比平靜的一天,開開會、改改bug,摸摸魚之後等著下班。刷著新聞的間隙,手機的消息提示音響了起來,收到了一條郵件,平時收到郵件我都會選擇稍後處理模式繼續摸魚,但是看到郵件標題後,我感覺摸魚是摸不得了,怕不是捅了什麽簍子,郵件的標題是這樣的:
我一看到“國家信息安全”幾個大字,手裏摸的魚都抓不牢了,我當時真的被唬住了,趕緊點開郵件查看一下我到底做了什麽,我真的不知道我幹了什麽,瞬間進入巨慫模式,屏氣凝神不敢說話。
國家信息安全漏洞共享平台的郵件
點開郵件之後,內容如下:
主要文案爲:
近日,國家信息安全漏洞共享平台(即中國國家漏洞庫,CNVD)接收到報告,獲知如下漏洞信息,CNVD-C-2019-195336 Newbee-mall v1.0.0存在SQL注入漏洞。該漏洞經測試,情況屬實。現將漏洞情況通報,請貴單位協助做好漏洞分析和處置工作。
國家信息安全漏洞共享平台發現了一處程序漏洞,通知我趕緊處理。
看了郵件內容之後,心情緩和了很多,哎呀,我還以爲你要搶我雞蛋呢,原來是這個 bug,這個問題其實我早就知道了。雖然現在不是巨慫模式,但是依然有點慫,我很納悶兒,當時主要有如下幾個疑問:
- 這個 bug 並不嚴重,而且已經修複了,現在這個郵件是什麽意思?
- 就是這麽一個問題怎麽就會被“國家信息安全漏洞共享平台”給捅出來了?
- 這個“國家信息安全漏洞共享平台”是真的嗎?怕不是要被騙了吧?
好的,帶著這幾個問題,摸魚是摸不下去了,趕緊查一下吧,順便也問問大家到底是怎麽回事。
來龍去脈
很多朋友看到這裏應該會很好奇,狗十三你到底寫了一個什麽 bug,還被國家信息安全漏洞共享平台給發現了?
莫慌莫慌,我們從頭講起,十三帶著大家來捋一捋這之中的來龍去脈。
幾個月之前,也就是 2019 年 9 月份的時候,我在 GitHub 開源平台上發布了一個開源項目 newbee-mall,newbee-mall 項目(新蜂商城)是一套電商系統,包括 newbee-mall 商城系統及 newbee-mall-admin 商城後台管理系統,基于 Spring Boot 2.X 及相關技術棧開發,這個開源項目也開源了好幾個月,但是因爲最近比較忙,我還沒有介紹給大家,後續我會整理一些文章來詳細地介紹一下這個 Spring Boot 開源商城項目。
以上是事件背景,由于是剛剛開源嘛,肯定還有很多小問題還沒來得及修複,也因此有一些朋友給我提了一些 issue,其中有一條 issue 內容如下:
這是開源項目 newbee-mall 的第一條 issue,這位朋友給我提的意見是:項目裏的部分 SQL 語句存在 SQL 注入的危險。好的,我看到這條 issue 之後就放在那裏了,准備在空的時候給修複掉,大家能夠從圖中看出,這條 issue 是在 2019 年 10 月 20 號提給我的,我也在 10 月 23 號把這個問題給修複並且關掉了這條 issue,本以爲是很小的一件事情,項目有 bug,修複嘛,對吧?
但是後面又出現了一些事情,一些意料之外的事情,並不是這封郵件,在這封郵件之前還有一件事情要和大家說一說。
CVE 國際安全漏洞庫
剛剛說了“國家信息安全漏洞共享平台”,這是我們國內的漏洞庫,在接到這封郵件之前呢,我發現 newbee-mall 項目的那個 SQL 注入問題已經出現在了 CVE 的官網,也就是國際安全漏洞庫也收錄了這條 SQL 注入漏洞。
被 CVE 收錄這件事情我是怎麽發現的呢?
做過開源項目的都知道,在倉庫裏我們是可以查看近期項目的訪問來源的,也就是大家通過哪些渠道進入到我們的開源倉庫這些都是可以追溯的,大致的頁面如下:
分別是網站的 LOGO 以及網址,還有就是通過這個網址的訪問統計,我偶爾也會看一些這個頁面,關心一下項目的訪問情況。某一天呢,我忽然發現在這些記錄裏有一條很陌生很陌生的記錄,也就是 CVE 網站的訪問記錄,而且那幾天,天天都有好幾條統計記錄,其實一開始我也不知道 CVE 是什麽,我只是覺得這個 LOGO 和網址有些陌生,于是就點進去了。
好的,點進去就發現之前提到的那條 SQL 注入問題被收錄到這個網站裏了,阿西吧,內容如下:
很搞人心態的是什麽呢?我壓根兒沒理這個東西,因爲我覺得畢竟是一個小 bug,而且我都已經修掉了,你挂著就挂著吧,老子才不理你呢。對,狗十三就是這麽傲嬌。
至于當時的心態爲什麽那麽傲嬌,而收到國內漏洞庫郵件的時候差點尿褲子呢?爲什麽反差如此之大?這一切的背後到底是道德的淪喪,還是人性的扭曲?
其實都不是,主要因爲 CVE 是一個國外站點,我並不熟悉,我也根本沒有在意,而且我真的覺得那個 SQL 注入的小 bug 應該不至于搞多大陣仗。
只是這封郵件之後我才想到,早在收到這封郵件的一個月之前呢,國際安全漏洞庫也收錄了這個漏洞,我還真的是丟人丟到國際上了,真的是有夠好笑呢。
國家信息安全漏洞共享平台郵件的後續反饋
好的,咱們把視線拉回到 11 月 26 號,我在收到那封郵件之後就帶著幾個疑問,于是我就把這封郵件的一些內容發給了一些朋友,也發到了自己的 QQ 群裏,主要是想了解一下我是不是很危險,又慫了。
折騰了一個多小時吧,也收到了大家很多的信息,最終得出結論,組織是真的,問題也不大,都已經修複了,就別再擔心了。
終于松了一口氣。
最終呢,我也給國家信息安全漏洞共享平台回了一封郵件,告訴他們問題已經修複,不用擔心,同時也感謝他們的善意提醒。
事情到了這裏,其實已經結束,整理這篇文章的目的也就是供大家摸魚的時候有點內容可以看看,同時,也了解一下 CVE 和 CNVD 這兩個組織,如果有什麽問題或者想要了解的事情呢,大家也可以留言給我,大家一起討論討論。