作者nakahusa (NA)
看板Soft_Job
标题Fw: [问卦] 有没有很多旅行社网站都可能有漏洞的八卦
时间Wed Jun 7 04:07:10 2017
※ [本文转录自 Gossiping 看板 #1PDmVH6r ]
作者: nakahusa (NA) 看板: Gossiping
标题: [问卦] 有没有很多旅行社网站都可能有漏洞的八卦
时间: Wed Jun 7 03:51:42 2017
最近好几个旅行社个资外泄的新闻,
好奇孤狗了几个旅行社的网站来看,
结果随便试了3个,就发现2个可能有含有漏洞的…
为了证明不是随便虎烂,皆附上图片。
PS:图片中网址列里的 %27 转成文字就是「'」,内行懂的。
范例1:首页最明显的搜寻框,每一个栏位都可能有 SQL Injection 问题
http://i.imgur.com/NpI684B.png
范例2:知名旅行社,网站右下有个按钮点进去,每一个网址参数都有 SQL Injection 问题
http://i.imgur.com/hqqDilG.png
最严重的 SQL Injection 都这麽容易发现了,
已经不敢继续想下去了 XD
有没有最好 Coding 等级练到多少再写重要系统的卦?
-----
刚在八卦 PO 了一篇,感叹台湾现在的资讯软体环境真的蛮糟的,
很多公司给薪不高,可能请到经验不足的人,
就让他负责重要的系统开发,
甚至是一些专门在开发软体的公司都有这种情况,
资安漏洞一堆的系统就拿出来卖钱了。
当然,注重这方面的公司也不少就是了,
不过这不是应该大家都要注意的吗...
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 220.136.23.46
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Gossiping/M.1496778705.A.1B5.html
1F:推 jojoStar: 一间旅行社公司完全不使用网路 你参考看看 06/07 03:53
2F:→ formatted: Trivago 06/07 03:54
3F:推 ikai99: 前一阵子某房仲的资料库密码都看的到。 06/07 04:03
4F:→ nakahusa: 一楼认真? 06/07 04:03
5F:→ ikai99: 一直到改版才修掉bug 06/07 04:04
6F:→ nakahusa: 不过范例2真的蛮讶异的...毕竟蛮大间的 06/07 04:04
7F:推 woogee: show tables;truncate ...; 06/07 04:04
上面是转录前的推文
8F:→ tw689: 旅行社请工程师的薪水大多就是低於市场行情 06/07 04:12
9F:→ tw689: 就只能找到低於市场水平的人 06/07 04:13
10F:→ tw689: 当然不是说这种新人都不能用,但是你连一个正常的Senior或 06/07 04:15
11F:→ tw689: 有点程度的都不愿意找 那就是自己承担後果 06/07 04:15
12F:→ nakahusa: 应该是说新人经验不足时,不应该让他直接参与重要系统的 06/07 04:18
13F:→ nakahusa: 开发 06/07 04:18
14F:→ nakahusa: 我指的直接参与是指 coding 或是 coding 完没有人 06/07 04:19
15F:→ nakahusa: review 06/07 04:19
※ 编辑: nakahusa (223.137.6.239), 06/07/2017 04:45:39
16F:嘘 shinmeteor: 旅行社的网站有什麽资安可言? 06/07 06:04
17F:→ Louis5213: SQL Injection应该是连学生作品都应该要做出预防的 06/07 06:07
18F:→ buper: 对他们来说,他们只愿意生气工读生写出这种东西,然後拿更 06/07 06:41
19F:→ buper: 低的薪水去找外包=_= 06/07 06:41
20F:→ t78973677: 工程师有bug可以修了 06/07 07:50
21F:→ robler: 有啥好意外的 你知道旅行社的薪水有多低吗.. 06/07 07:54
22F:推 skitty: 通常是出完包才会review 没出事主管也不会去管 06/07 09:32
23F:推 jack0204: 这很正常啊,没能力开规格跟验收,别人就随便写写 06/07 09:48
24F:推 mark0405: 因为不少旅行社买套装的旅行网站阿....... 06/07 09:55
25F:推 Eric0605: 这些都2,3万工程师写的 你还能要求什麽 06/07 10:05
26F:→ dreamnook: 最近正好在补完这个部分XD 06/07 10:33
27F:→ jennya: 话说做sql injection测试会不会就有法律问题啊? 06/07 10:54
测试是没有问题的,更何况我这只是在输入框打个「'」,
就在 enter 隔壁,一般人在按 enter 时不小心按到都有可能勒。
主要是看测试时,是不是真的有进一步的使用这个漏洞,
进而去取得个资或是入侵的动作,
国外有些白帽 Hacker 的争议就是这样来的,
白帽发现漏洞时会继续进行下一步动作,
验证漏洞是否确实存在,若确定的话还会直接指名公开。
就像前阵子 Google 发现微软漏洞时,
会先通知微软,限期修复,
期限到时就会直接公开也是类似的做法。
28F:→ ssccg: 其实大部分的程式教学也都不把安全程式当教学目标,会动就 06/07 11:05
29F:→ ssccg: 好,要不然这根本不应该是经验问题 06/07 11:07
30F:→ dreamnook: 大部分的程式教学都是考倒学生为目标(X 06/07 11:11
31F:→ vi000246: 我们系上网站也是 跟实习厂商合作弄的系网被发现漏洞 06/07 12:22
32F:→ vi000246: 回报了也不修 去乌云查 半年前就有人回报了 06/07 12:22
33F:推 keyut2433: sql injection不是基本中的基本吗? 06/07 12:24
34F:推 stosto: 其实都是故意埋的 06/07 12:30
35F:→ crossdunk: 旅行社网页全端工程师,大概是25k 06/07 12:38
36F:→ crossdunk: 除非是雄狮那种资本额比较大,比较靠电商在卖的 06/07 12:39
37F:→ crossdunk: 才会比较高,像是易游网< 06/07 12:39
38F:→ crossdunk: 喔对了,在台北喔 06/07 12:39
39F:→ bobju: 很多旅行社没有rd, 就外包出去,承包商也只能做到堪用的程 06/07 13:45
40F:→ bobju: 度而已,连最基本的网站安全也顾不上。 06/07 13:45
※ 编辑: nakahusa (223.137.180.110), 06/07/2017 13:52:02
41F:推 f124: 易游网也没多高阿...XD 06/07 15:07
42F:→ crossdunk: 但比起一般中小型旅行社算高了,易游网薪资没有超过25K 06/07 16:26
43F:→ crossdunk: 吗? 06/07 16:26
44F:→ ChungLi5566: 源码检测的工具不便宜,检测完改程式也是一笔钱 06/07 22:46
45F:→ ChungLi5566: second order sql injection, XSS, XSRF...一堆都要 06/07 22:49
46F:→ ChungLi5566: 防 06/07 22:49
47F:→ bndan: ..你在想什麽? 这些通常都是请不起的情况 随便拿人塞一塞就 06/08 19:12
48F:→ bndan: 开始做 然後乱做 做出一堆满满资安问号的"站" 再来号称XX平 06/08 19:13
49F:→ bndan: 台 然後连个资法的问题也不去管 资料被摸走 客人被打诈骗电 06/08 19:13
50F:→ bndan: 话 他们还是随便...这种就是标准的台湾技术随便的文化产生 06/08 19:14
51F:→ bndan: 垃圾赚钱模式... 06/08 19:16
52F:→ bndan: 已经看到某旅游平台在165登榜数次第1..但人家还是没要没紧 06/08 19:17
53F:→ bndan: 只能建议在意资安的台湾人 没事就别去这些站上输入资料... 06/08 19:17
54F:→ ilmb1314: 面试过开3万的连锁旅行社 06/11 03:22
55F:推 yoa0930: 旅行社通常是请外面公司做网页设计,但往往制作好A版,老 06/15 06:59
56F:→ yoa0930: 板会要做到A+B+C,然後嫌贵。好一点公司会自己撰写,但都 06/15 06:59
57F:→ yoa0930: 是美编来兼职(看104职缺)。 06/15 06:59