清明节放假回来，中午午休的时候，站长群里一哥们发了一段视频，说快把他看的笑抽了，我打开一看，发现这不是《非你莫属》么，4月7日那期，里面是第四个求职者，叫王鑫，自己说是专门学网络安全的，特意来《非你莫属》，想要求职58同城的安全工程师，最后结果是58同城录用了，开出了一个月8000的薪水，面试成功。先不说具体结果如何，只不过这过程太匪夷所思了，王鑫上来说自己有5、6年的网络安全经验，这次是发现了58同城的一个漏洞，而且是去年10月发现的，到现在还没补。先摘录点对话给大家看看。王鑫：“身边很多人都被抓了，特别大的网站我从来都不进。比如那些有备案的……”说找到了58同城的漏洞，随后慕岩问百合网的情况。王鑫：“百合网我测过一点点吧，没有测出漏洞。”百合网-慕岩：“其实还是有的”58同城-段冬：“我知道做网络安全的人，其实有个圈子，他们在测不同网站里边的漏洞，然后会相互通知安全人员，说你们网站有什么漏洞。”

专门搞安全的说出来网站没有漏洞，这种话我反倒觉得不像是一个有5、6年网络安全经验的老鸟说出来的，当然也可能是奉承，不过慕岩还是明白人，承认网站不可能没有漏洞。其实明白人仔细想一下，全球最牛的程序员在一块写的Windows系统都有漏洞么，普通程序员写的网站了那就更不用说了，有漏洞肯定是正常的，在国内互联网的漏洞和攻击是普遍存在的事。之后后面王鑫同学开始展示他发现的那个58同城的漏洞了，就是58同城内部的系统后台，管理员登录界面，但是一直没登录上去，然后慕岩说这不是一个漏洞啊，王鑫同学则在那强调如果我能进了，说明58做的太烂了，张绍刚帮腔说慕岩不懂装懂，这面试就算成功了。不过到了转天下午，一个叫Castiel的哥们在微博上发了一条微博，展示了58同城的后台登录界面，而且是登录后的界面。也就是说58同城这个后台被成功入侵了。而且还说这个漏洞就是《非你莫属》里出现的那一个，王鑫同学没登录上去，不过还是有高手利用这个漏洞上去了。这一下引起了轩然大波，想想一个上亿用户的网站就被这么轻易的入侵了，难怪前两年有大量的用户资料被泄露，网络安全实在脆弱的可以！但其实更重要的是，58同城这个漏洞实在低级，基本上是程序员里小学生都会的那种，属于在20世纪就已经出现的一种攻击方式。不过这也不能怪程序员，人无完人，谁都会出错的嘛。何况现在检查漏洞的成本之高早就超出想象了，小网站都要个几十万，58同城这样的大网站就更不用提了。说到这其实真心建议这帮互联网大佬们试试云安全，像是安全宝这类，有云WAF防护系统，一键安装，基本没有后期的维护成本费用，估计当时58同城要是用了云安全防护，这种低级的漏洞也就不会被发现了吧？起码不会让上亿用户觉得自己的信息不安全，这对于58同城网站绝对是一次安全信誉危机。现在做网站的站长也该知道，做网络安全要是仅仅局限于本地，肯定会出现多方面的疏忽，小网站更是没有实力去做本地安全防护，大网站的安全方式应该是本地防护和云安全相结合，小网站则主要靠云安全就能解决大部分攻击了。比如安全宝这类，有替身防护，对方进行攻击的时候很难攻击到真正的网站服务器，这就解决了绝大部分问题，而且安全宝本身也有漏洞修复机制，可以在发现漏洞后迅速修复漏洞，保证网站的代码安全，云安全这种简单方便但又十分有效的防护方式绝对是未来网络安全的发展主流。真心建议58同城的老板也能懂点安全技术，要不亿万用户的谁来负责？