曾經(jīng)有個(gè)公司的IT技術(shù)人員，他發(fā)現(xiàn)了一個(gè)公共系統(tǒng)文件十分嚴(yán)重的漏洞，但是他沒(méi)跟公司的領(lǐng)導(dǎo)說(shuō)，而是跟其他公司的技術(shù)和玩家說(shuō)了，很長(zhǎng)時(shí)間后，公司從市場(chǎng)上聽(tīng)到了這個(gè)事兒，目前已經(jīng)給公司造成了不可估量的損失，但是這個(gè)技術(shù)人員卻說(shuō)，不知道會(huì)有這么嚴(yán)重的后果。

　　聽(tīng)上去可能比較假，但是，現(xiàn)在這樣的事兒，卻不是故事了，而是真的：

　　2021年11月24日，阿里云安全團(tuán)隊(duì)向Apache官方報(bào)告了Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞：由于Apache Log4j2某些功能存在遞歸解析功能，攻擊者可直接構(gòu)造惡意請(qǐng)求，觸發(fā)遠(yuǎn)程代碼執(zhí)行漏洞，漏洞利用無(wú)需特殊配置。經(jīng)阿里云安全團(tuán)隊(duì)驗(yàn)證，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響。阿里云應(yīng)急響應(yīng)中心提醒 Apache Log4j2 用戶盡快采取安全措施阻止漏洞攻擊。

　　12月9日，工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)收到有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)報(bào)告，阿帕奇Log4j2組件存在嚴(yán)重安全漏洞。

　　12 月 10 日凌晨，Apache 開(kāi)源項(xiàng)目 Log4j 的遠(yuǎn)程代碼執(zhí)行漏洞細(xì)節(jié)被公開(kāi)，由于 Log4j 的廣泛使用，該漏洞一旦被攻擊者利用會(huì)造成嚴(yán)重危害?？赡艿氖苡绊憫?yīng)用包括但不限于：Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、Elasticsearch、Flume、Dubbo、Redis、Logstash、Kafka 等。很多互聯(lián)網(wǎng)企業(yè)都連夜做了應(yīng)急措施，斗魚(yú)、京東、網(wǎng)易、深信服和汽車(chē)產(chǎn)業(yè)安全應(yīng)急響應(yīng)中心皆發(fā)文表示，鑒于該漏洞影響范圍比較大，業(yè)務(wù)自查及升級(jí)修復(fù)需要一定時(shí)間，暫不接收 Log4j2 相關(guān)的遠(yuǎn)程代碼執(zhí)行漏洞。

　　從11月24日到12月9日，近半個(gè)月的時(shí)間，國(guó)家相關(guān)部門(mén)才從鬧得沸沸揚(yáng)揚(yáng)的網(wǎng)絡(luò)上獲取到相關(guān)漏洞的信息，這期間，有多少國(guó)內(nèi)企業(yè)、機(jī)構(gòu)的數(shù)據(jù)、信息、系統(tǒng)被攻擊，現(xiàn)在無(wú)從得知。但是最起碼，這起事情，對(duì)于作為測(cè)試人員的我們，要有一下幾個(gè)啟示：

　　首先：軟件的任何漏洞和bug，不管多嚴(yán)重，都要及時(shí)上報(bào)。

　　因?yàn)檐浖腷ug帶來(lái)的危害，可能從某個(gè)角度來(lái)說(shuō)或許影響不大，但是我們永遠(yuǎn)無(wú)法知道別人會(huì)怎樣利用這個(gè)漏洞和bug。畢竟子虛烏有的事情，都能被傳的倒是都是，何況是確有其事呢?

　　但是12月23日，阿里云對(duì)這事兒給了一個(gè)回應(yīng)：

　　居然說(shuō)沒(méi)有意識(shí)到漏洞的嚴(yán)重性?難道不知道log4j2的應(yīng)用廣泛度?還是不知道漏洞本身能夠被遠(yuǎn)程利用執(zhí)行的嚴(yán)重性?作為技術(shù)人員的我們，應(yīng)該不會(huì)不知道吧!

　　其次：作為測(cè)試人員，一定要站在企業(yè)利益的立場(chǎng)，明白測(cè)試是為誰(shuí)而做。

　　一旦漏洞泄露，被人利用了，測(cè)試人員不是說(shuō)大不了跳槽，或者說(shuō)：“此處不留爺自有留爺處”，就能完事兒。因?yàn)槟愕男袨榭赡軙?huì)直接被記錄在案。

　　就像阿里云的此次行為，不知道給國(guó)內(nèi)的企業(yè)和機(jī)構(gòu)造成多嚴(yán)重的后果，因此，工信部安全相關(guān)信息平臺(tái)就取消了阿里云官方合作伙伴的資格六個(gè)月，以觀后效。

　　12月17日，工信部召集相關(guān)安全機(jī)構(gòu)和企業(yè)進(jìn)行風(fēng)險(xiǎn)研判。

　　希望本次漏洞不會(huì)造成太過(guò)嚴(yán)重的后果吧!

　　現(xiàn)在小編就在考慮，明年我們教學(xué)輔助平臺(tái)，還要繼續(xù)使用阿里云么?有漏洞不給自己國(guó)內(nèi)的用戶報(bào)告，反而告知了外國(guó)人!更多關(guān)于“軟件測(cè)試技術(shù)干貨”的問(wèn)題，歡迎咨詢千鋒教育在線名師。千鋒教育多年辦學(xué)，課程大綱緊跟企業(yè)需求，更科學(xué)更嚴(yán)謹(jǐn)，每年培養(yǎng)泛IT人才近2萬(wàn)人。不論你是零基礎(chǔ)還是想提升，都可以找到適合的班型，千鋒教育隨時(shí)歡迎你來(lái)試聽(tīng)。