一个个小小的漏洞差点失掉了吃饭的活

gogo110 · 发表于 2015-6-17 17:49:18

我不知道作为程序猿的大家是否有过这样的经历，在开发过程中一个粗心，不小心把一个安全加密的点没有涉及，在上线以后，突然爆出应用被攻击、数据泄露等等问题，最后搞不好丢了工作，幸运点的就保留了工作，但是奖金却都被扣没了。今天我给大家讲讲发生在我身上真实的事情。
我们这一个小组主要是做Android app开发的，之前我们开发了一款弱联网类手游，其中有一个功能是需要用户注册使用的，注册过程中我们就会收集到用户的常用邮箱之类的基本信息。但是在做加密时使用SecureRandom中的setSeed方法设置种子，当时我没有考虑到setSeed方法设置将会造成生成的随机数不随机，这样会使加密数据容易被破解，所以发生后面差点不可挽回的事情。
我们这款游戏还没上线时，就已经做了一些预热活动，所以在上线以后，下载量、使用率都还是很不错的（具体数据我也记不太清楚）。也许是树大招风，在上线不到一个月，陆续有用户发现登陆不了账号；明明过来第7关，下次登陆又要我从第一关开始等等问题出现。开始我还以为是服务器问题，以为只是服务器无法承受这么大数据量，就不停的加大服务器的内存。过多两周以后，超过40%的用户出现问题，我不得不重视这个问题了。这时大boss也出面了（中间过程很悲壮••••••）
最后意识到可能是apk文件可能被破解了，只能一项一项去过滤，但是很费时（其实就是想偷懒），就去论坛逛了一圈，发现大家推荐几个检测的平台，有云测、360、安全管家、腾讯、爱内测。所以我就每个都去试，发现爱内测有检测比较详细的报告。所以就在这个报告中找，终于找到了几个比较核心的漏洞（内牛满面啊•••），比如日志信息移除安全，还有前面提到的SecureRandom。所以只能加班加点的把这个漏洞给补上，再做加密。
唉~~因为这一个小小的疏忽，把我这一个季度的奖金都给扣了，还被大boss狠狠的批了一顿，差点把工作5年的岗位给弄丢了（我容易麽•••）