目录介绍：

• 1、58同城频频出现争议，平台上所有求职者的简历是否能得到保障？
• 2、金山卫士检测到58个高危漏洞是否应该修复
• 3、4月7日《非你莫属》嘉宾黑客「王鑫」的发展如何?,,
• 4、他们在黑客发现自身产品的漏洞后应该从哪些方面来检查和完善

58同城频频出现争议，平台上所有求职者的简历是否能得到保障？

58同城频频出现争议，平台上所有求职者的简历是否能得到保障？个人认为，任何企业都会遇到问题，重点在其解决问题的能力和态度。作为分类信息行业的知名企业，相信58同城有这个实力来维护所有求职者的信息安全，平台上所有求职者的简历可以得到保障。

58同城是国内知名的免费分类信息网站。在这个网站上可以租房、求职、买卖二手车及其他闲置物品，是一个大而全的网站。在这些功能当中，被大家广泛熟知的就是“求职”功能，很多求职者都在上面注册过简历信息，备受求职人员的青睐。但是2017年，58同城被爆料信息数据安全出现问题，求职者个人信息惨遭泄露。经查，58同城的简历数据被黑客攻击，并拿到各大网站上进行售卖。买家只需支付700元购买一种爬虫软件，用卖家提供的账号登录后就能不断采集应聘者的相关信息，该软件每小时可以采集数千份用户数据。信息一经爆出，便引起了很多求职者的担忧。我们知道，简历上一般会有个人的姓名、户籍、住址、求学经历及工作经历等个人关键信息，这些信息一旦被不法分子利用，很可能就会成为被电信诈骗的对象，造成经济上的损失。而58同城的问题还不止于此。在被爆出信息泄露事件后，58同城还被爆出“对招聘企业资质审核不严”“发布虚假招聘信息”等问题。这一系列问题，导致求职者对58同城逐渐失去信任感，纷纷选择弃用。

其实，信息时代出现信息泄露在所难免，只不过是波及范围的或大或小而已。58同城的信息泄露事故最大的过错是安全防护没有做好，在黑客攻击事件中同样遭受到了巨大的经济损失，所以也是数据泄露的受害者。在事件发生后，58同城便在第一时间查漏补缺，对漏洞进行了修补。“一朝被蛇咬，十年怕井绳。”通过”信息泄露事件，58同城对安全问题一定会倍加重视，再犯类似问题的可能性，相比那些没有吃过教训的平台来说，会更低，所以平台上所有求职者的简历，相比其他没有遭遇过黑客的平台而言，会更能得到保障。至于”对企业审核不严“及”发布虚假招聘信息“等问题，这些问题几乎在所有的互联网招聘平台都会有，除了依靠平台严格把关外，更重要的还需要大家提高甄别能力，以免上当受骗。

我们经常说：人非圣贤，孰能无过，对于企业而言，亦是如此。58同城是所有招聘平台中少有的全程提供免费求职服务的网站，这样的企业，值得我们给第二次机会，让他们能够从教训中获得成长，以更好的服务来回馈大众的信任。

金山卫士检测到58个高危漏洞是否应该修复

漏洞是黑客入侵的入口，最好是修复了，进空间一般跟修复漏洞没多大关系，你可以去下一个flash

player装好，进空间就好些了。可以试试。

4月7日《非你莫属》嘉宾黑客「王鑫」的发展如何?,,

网上并没有后续报道。

王鑫是非你莫属20130407这期，第4位求职者，是学网络安全专业的，节目中求职的意向是58同城的安全工程师。最后58同城开出了8k一个月的薪水，面试成功。

最出名的是他叫板互联网大佬，才艺展示的时候展示了他发现的一个58同城的某内部系统管理后台，一个管理员登录页面。叫板百合网的慕言，还有58同城的段冬。

然而在某天下午17:30分，在腾讯微博上一位叫 Castiel的网友贴了一张图，展示了58同城某后台的界面，而且是登录后的！

在17：54分，一位叫光影的“白帽子”在乌云网站上提交了一个 58同城某后台管理系统的绕过漏洞，可以直接登录进此后台。并且，该“白帽子”特别注明了，这个后台是《非你莫属》里出现的那一个。厂商修复后我上乌云了 解了下漏洞类型，看到了这个漏洞的一些细节情况。

这个漏洞的低级程度就像是个小学生都应该掌握的技巧，属于在20世纪就已经出现的一种攻击方式。写这段代码的程序员真该被拖出去打屁股。

看到如此低级到不可能被忽略的漏洞后，我想如果这就是王鑫同学看的那个后台，那么：

1、王鑫同学根本就不懂安全技术，纯粹来忽悠的。

2、王鑫同学进去过了，不过台上说没进去过。（有可能是给大佬们留点面子）。

说点正经的，这件事情可能对于王鑫来说是很大的压力，不过从他的表现来看，确实尚需磨砺。如果他真的是研究了5、6年的安全技术，而台上的表现又是他的真实水平的话，我觉得他认真考虑一下要不要转行做销售。因为你的沟通能力比你的技术好太多了。

他们在黑客发现自身产品的漏洞后应该从哪些方面来检查和完善

重新安装系统 硬盘全部格式化 不要留下 任何东西 一般黑客只要你没有全部格式化 台式电脑的话重新刷主板，在换个网卡。

网络安全漏洞的发现与解决。

1 主机和网络设备安全漏洞。主机和设备漏洞扫描可以通过评估工具以远程扫描的方式对评估范围内的系统和网络进行安全扫描。通过扫描发现网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁，并对检查出来的弱口令、高风险漏洞进行手工验证。系统安全扫描在完成扫描后提交扫描结果、汇总表和报告，由安全服务厂家技术人员将现场协助对扫描结果进行分析，并提供相应的技术建议，并追踪漏洞漏洞修复情况，漏洞修复之后进行再次扫描验证漏洞是否修复，通过周期性循环此环节解决主机和网络设备安全问题。

2 Web安全漏洞。Web安全可通过安全设备和人工渗透测试两种方式主动探测查找出安全漏洞，然后通知相关负责人进行漏洞修复进行解决。使用Web安全扫描设备对网站资产开展周期性安全扫描、对扫描出漏洞进行漏洞验证，确认漏洞是否存在。对漏洞整改提出可落地的漏洞修复建议。对网站资产开展定期渗透测试，深度全面发现各类网站漏洞，确保网站资产安全。Web渗透测试则遵循明确的测试方案，从主机设备、网络协议、web应用、手机APP、等方面进行全面的渗透测试，在确保覆盖年度owasptop10等主流类型的网站漏洞基础上检测出更多类型的漏洞。

3 App安全漏洞。APP安全采用安全专家与半智能化工具相结合的服务方式，主动发现应用（包括Android和IOS）存在的安全风险和漏洞，漏洞发现主要从源代码保护，身份鉴别，权限管理，会话管理、数据存储安全、敏感信息安全、数据传输安全、异常处理、日志审计等方面进行APP安全检测发现，针对发现的漏洞提出合理整改意见，协助开发厂商对应用进行加固与修复，持续优化移动应用安全风险管控体系。

4 新业务安全漏洞。上述安全测均是基于现有存在的业务的安全解决，由于线上业务在进行安全测试需要考虑到业务的稳定性，部分漏洞无法进行很好的安全测试，由此对于新上线的业务应从上线之前进行安全漏洞的彻底排除。新上线业务可将业务部署到执行的仿真业务测试环境中，有测试方提供较高权限的账号和权限进行全方位的安全测试，在此方案下解决上线之前解决安全问题，保护客户资产。