捅娄子了，写个bug被国家信息安全漏洞共享平台抓到了？

本文主要是介绍捅娄子了，写个bug被国家信息安全漏洞共享平台抓到了？，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

quote

除注明转载/出处外，皆为作者原创，欢迎转载，但未经作者同意必须保留此段声明，且在文章页面明显位置给出原文链接，否则保留追究法律责任的权利。

摸不了鱼了

2019 年 11 月 26 日，本来应该是无比平静的一天，开开会，改改bug，摸摸鱼之后等着下班。刷着新闻的间隙，手机的消息提示音响了起来，收到了一条邮件，平时收到邮件我都会选择稍后处理模式继续摸鱼，但是看到邮件标题后，我感觉摸鱼是摸不得了，怕不是捅了什么篓子，邮件的标题是这样的：

什么东西？怎么了？我一看到“国家信息安全”几个大字，手里摸的鱼都抓不牢了，我当时真的被唬住了，赶紧点开邮件查看一下我到底做了什么，我真的不知道我干了什么，瞬间进入巨怂模式，屏气凝神不敢说话。

国家信息安全漏洞共享平台的邮件

点开邮件之后，内容如下：

主要文案为：

近日，国家信息安全漏洞共享平台（即中国国家漏洞库，CNVD）接收到报告，获知如下漏洞信息，CNVD-C-2019-195336 Newbee-mall v1.0.0存在SQL注入漏洞。该漏洞经测试，情况属实。现将漏洞情况通报，请贵单位协助做好漏洞分析和处置工作。

国家信息安全漏洞共享平台发现了一处程序漏洞，通知我赶紧处理。

看了邮件内容之后，心情缓和了很多，哎呀，我还以为你要抢我鸡蛋呢，原来是这个 bug，这个问题其实我早就知道了。虽然现在不是巨怂模式，但是依然有点怂，我很纳闷儿，当时主要有如下几个疑问：

这个 bug 并不严重，而且已经修复了，现在这个邮件是什么意思？
就是这么一个问题怎么就会被“国家信息安全漏洞共享平台”给捅出来了？
这个“国家信息安全漏洞共享平台”是真的吗？怕不是要被骗了吧？

好的，带着这几个问题，摸鱼是摸不下去了，赶紧查一下吧，顺便也问问大家到底是怎么回事。

来龙去脉

很多朋友看到这里应该会很好奇，狗十三你到底写了一个什么 bug，还被国家信息安全漏洞共享平台给发现了？

莫慌莫慌，我们从头讲起，十三带着大家来捋一捋这之中的来龙去脉。

几个月之前，也就是 2019 年 9 月份的时候，我在 GitHub 开源平台上发布了一个开源项目 newbee-mall，newbee-mall 项目（新蜂商城）是一套电商系统，包括 newbee-mall 商城系统及 newbee-mall-admin 商城后台管理系统，基于 Spring Boot 2.X 及相关技术栈开发，这个开源项目也开源了好几个月，但是因为最近比较忙，我还没有介绍给大家，后续我会整理一些文章来详细地介绍一下这个 Spring Boot 开源商城项目。

以上是事件背景，由于是刚刚开源嘛，肯定还有很多小问题还没来得及修复，也因此有一些朋友给我提了一些 issue，其中有一条 issue 内容如下：

这是开源项目 newbee-mall 的第一条 issue，这位朋友给我提的意见是：项目里的部分 SQL 语句存在 SQL 注入的危险。好的，我看到这条 issue 之后就放在那里了，准备在空的时候给修复掉，大家能够从图中看出，这条 issue 是在 2019 年 10 月 20 号提给我的，我也在 10 月 23 号把这个问题给修复并且关掉了这条 issue，本以为是很小的一件事情，项目有 bug，修复嘛，对吧？

但是后面又出现了一些事情，一些意料之外的事情，并不是这封邮件，在这封邮件之前还有一件事情要和大家说一说。

CVE 国际安全漏洞库

来，继续。

刚刚说了“国家信息安全漏洞共享平台”，这是我们国内的漏洞库，在接到这封邮件之前呢，我发现 newbee-mall 项目的那个 SQL 注入问题已经出现在了 CVE 的官网，也就是国际安全漏洞库也收录了这条 SQL 注入漏洞。

被 CVE 收录这件事情我是怎么发现的呢？

做过开源项目的都知道，在仓库里我们是可以查看近期项目的访问来源的，也就是大家通过哪些渠道进入到我们的开源仓库这些都是可以追溯的，大致的页面如下：

分别是网站的 LOGO 以及网址，还有就是通过这个网址的访问统计，我偶尔也会看一些这个页面，关心一下项目的访问情况。某一天呢，我忽然发现在这些记录里有一条很陌生很陌生的记录，也就是 CVE 网站的访问记录，而且那几天，天天都有好几条统计记录，其实一开始我也不知道 CVE 是什么，我只是觉得这个 LOGO 和网址有些陌生，于是就点进去了。

好的，点进去就发现之前提到的那条 SQL 注入问题被收录到这个网站里了，阿西吧，内容如下：