作者joetsai (路人酒菜)
看板Soft_Job
标题[讨论] 中国漏洞通报平台乌云
时间Sun Mar 6 13:10:57 2016
或许是我太孤陋寡闻 昨天跟朋友闲聊才知道这地方
http://www.wooyun.org/
里面看到很多台湾的网站有 SQL Injection 的问题
小弟想说这不是很常见的资安常识吗!?
根据我工作的经验 可以归纳出原因整理如下
1. Legacy System
2. 便宜行事 组 SQL 字串比较直觉 也没有验证资料
3. 对 Framework 不熟 误用
4. 资安常识不足
不知道版上的各位强者大大们 怎麽看这件事情
谢谢
--
posted from bbs reader hybrid on my motorola Nexus 6
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 111.83.238.72
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Soft_Job/M.1457241060.A.75C.html
1F:→ y3k: 我觉得2最多XD 03/06 13:15
2F:推 SkyPlus: PM: SQL 查询改几个字就好了吧, 下班前记得 commit 03/06 13:21
3F:→ testPtt: 发案人没要求阿 $_$ 03/06 13:30
4F:推 now99: 没有漏洞扫描的检核机制吧 03/06 13:55
5F:→ duckfly: 大部份台商只会用低薪聘猴子,做出来的品质能好到哪 03/06 14:03
6F:推 bobju: 就赶着上线, 该做的安全测试都没做 03/06 14:33
7F:→ pooznn: 刚出校门的 几个会去注意资安问题 程式能动能交差就好 03/06 14:35
8F:→ abccbaandy: 除非自己组sql,不然很多framework都帮你做掉了吧 03/06 14:41
9F:推 yyc1217: 资安的概念应该和if then或for loop一起教 03/06 14:45
10F:推 jinmin88: 会发生的原因最主要应该是该单位主管没有sense 03/06 15:21
11F:→ jinmin88: 然後公司条件差 只能找刚毕业的..这种问题就很容易发生 03/06 15:22
12F:→ ChungLi5566: 公司没买弱扫工具或是工具太旧扫不出来 03/06 18:59
※ 编辑: joetsai (36.235.195.76), 03/06/2016 19:57:16
13F:→ viper9709: 1,2,4都很多吧 03/06 22:05
14F:→ bndan: 个人看法比较负面.3和4才是主因...与其说是训练的问题 不如 03/07 00:46
15F:→ bndan: 说这是业界不够成熟就能赚钱的问题(赚钱门槛太低 = =|||) 03/07 00:46
16F:→ bndan: 应该说 "在技术上"的赚钱门槛远不及其他项目... 03/07 00:47
17F:推 blackwindy: 你觉得领22K 28K的需要搞资安吗 03/07 03:03
18F:→ blackwindy: 应该说 你真的以为台湾公司有QA吗... 03/07 03:03
19F:→ atpx: 时程与成本问题....顾客就是这麽快要 03/07 09:09
20F:→ atpx: 你没交差就是违约 03/07 09:09
21F:→ MonyemLi: 专案的目标就是验收.压榨久了,能动就是好code. 03/07 11:16
22F:推 Masakiad: 没sense的老一辈主管还真不少,尤其接案公司速度功能导 03/07 18:34
23F:→ Masakiad: 向,没把资安部分放验收条件。 03/07 18:34