鬼仔's Blog

作者：h4k_b4n 原文

写在合作终止的半个小时
首先，我代表Codefense（Bug.Center.Team）对于这一个月内连续两次XSS漏洞的问题，我们深感抱歉。我个人认识zx.asd已经有几年的时间了。从很早就关于ZBlog的发展，当初合作的初衷也是希望Zblog不仅仅在功能上满足大家的需求，也是在安全性可以达到一个更高的台阶。从1.8 Spirit发布开始，我们就尽量的抽取公司空闲时间去针对Zblog进行全面的代码检测工作，而且我们和Zblog的合作完全是属于友情无偿的服务。在代码安全检测方面来说，我们一直以来都是注重代码的SQL注入漏洞、越权漏洞等等，而对于XSS方面的检测研究，因为我分派的工程师本身对于XSS不是很熟悉，从第一个漏洞被发现之后就不停自我加班，也再三跟我反映了有关的情况。我们和80Sec的确有一定的联系，但是国内的安全组织以及安全公司，一直以来都没有一个良好的漏洞信息共享机制，所以导致到我们不知道他们是什么时候发布漏洞，是什么时候提交给官方，而且自从第一次公开漏洞之后，我们就已经跟相关方面进行了交涉，而且也更加抓紧了我们自身的弱点问题。我说以上的话，并非是希望各位用户以及Zblog的全体开发团队成员可以原谅我们的过错，作为代码安全检测方，首先我们没有保证产品的安全是我们的过错，没有跟有关的安全组织进行漏洞信息发布做有关的交涉，也是我们的过错，致使Zblog部分用户因为漏洞被公开而造成入侵，我们深感抱歉。
至于这次合作的终止，我们无话可说，一切的后果我们全部承担。如果有哪位朋友在使用Zblog的过程当中，因为漏洞而导致被入侵的，可以随时通过论坛的信息找到我，我会安排公司的相关人员尽量为大家处理。而Zblog以及Zblog旗下认证的插件，我们还是会继续进行代码安全审计工作。虽然Zblog已经跟我们确认要终止合作，但是作为Zblog忠实支持者，我们还是会继续代码安全审计工作的。再次对这次的事件，深深的说一声对不起。

我们承认我们自身在XSS方面有所欠缺，但是我们真的有努力，今天回公司看到小张眼都红了！真的过意不去，连续几天赶鸭子式的XSS学习，我看他都快晕过去了！

没办法，技术不到位就是要吃亏，只能够怪自己了！

太多事情都是巧合，所以也是有原因的！存在必有因，从这事我们也发现了我们的自身缺点是很多的。以后在无偿合作方面需要更加的注意，责任真的很大。