h4k_b4n的一篇声明

作者:h4k_b4n 原文

写在合作终止的半个小时
首先,我代表Codefense(Bug.Center.Team)对于这一个月内连续两次XSS漏洞的问题,我们深感抱歉。我个人认识zx.asd已经有几年的时间了。从很早就关于ZBlog的发展,当初合作的初衷也是希望Zblog不仅仅在功能上满足大家的需求,也是在安全性可以达到一个更高的台阶。从1.8 Spirit发布开始,我们就尽量的抽取公司空闲时间去针对Zblog进行全面的代码检测工作,而且我们和Zblog的合作完全是属于友情无偿的服务。在代码安全检测方面来说,我们一直以来都是注重代码的SQL注入漏洞、越权漏洞等等,而对于XSS方面的检测研究,因为我分派的工程师本身对于XSS不是很熟悉,从第一个漏洞被发现之后就不停自我加班,也再三跟我反映了有关的情况。我们和80Sec的确有一定的联系,但是国内的安全组织以及安全公司,一直以来都没有一个良好的漏洞信息共享机制,所以导致到我们不知道他们是什么时候发布漏洞,是什么时候提交给官方,而且自从第一次公开漏洞之后,我们就已经跟相关方面进行了交涉,而且也更加抓紧了我们自身的弱点问题。我说以上的话,并非是希望各位用户以及Zblog的全体开发团队成员可以原谅我们的过错,作为代码安全检测方,首先我们没有保证产品的安全是我们的过错,没有跟有关的安全组织进行漏洞信息发布做有关的交涉,也是我们的过错,致使Zblog部分用户因为漏洞被公开而造成入侵,我们深感抱歉。
至于这次合作的终止,我们无话可说,一切的后果我们全部承担。如果有哪位朋友在使用Zblog的过程当中,因为漏洞而导致被入侵的,可以随时通过论坛的信息找到我,我会安排公司的相关人员尽量为大家处理。而Zblog以及Zblog旗下认证的插件,我们还是会继续进行代码安全审计工作。虽然Zblog已经跟我们确认要终止合作,但是作为Zblog忠实支持者,我们还是会继续代码安全审计工作的。再次对这次的事件,深深的说一声对不起。

我们承认我们自身在XSS方面有所欠缺,但是我们真的有努力,今天回公司看到小张眼都红了!真的过意不去,连续几天赶鸭子式的XSS学习,我看他都快晕过去了!

没办法,技术不到位就是要吃亏,只能够怪自己了!

太多事情都是巧合,所以也是有原因的!存在必有因,从这事我们也发现了我们的自身缺点是很多的。以后在无偿合作方面需要更加的注意,责任真的很大。

相关日志

抢楼还有机会... 抢座Rss 2.0或者 Trackback

  • john

    不是技术的问题,老兄

    是你们忽悠的水平还没到家

    技术是没有问题的,可能方法上有点问题吧

发表评论