作者Merkle (塔绿班婊子立牌坊)
看板Soft_Job
标题[讨论] 国泰出这包不太行吧
时间Sat Dec 21 01:22:13 2024
http://i.imgur.com/NpicdAz.jpg
http://i.imgur.com/EUgYxKn.jpg
蛮屌的
直接整个错误讯息string吐回去给前端
吐给前端连资料内容判断都不做直接吐回去
号称资安最重要的金融业搞这样
真的蛮屌的
--
1F:推 afterxxxxx: 我高中同学兄弟俩爱吃麦当劳常跑去偷吃 他爸有次生气02/16 22:07
2F:→ Merkle: 就射了02/16 22:08
3F:→ afterxxxxx: 了说爱吃就让你们吃个够 然後连续两个礼拜晚餐都吃麦02/16 22:09
4F:→ Merkle: 克阿瑟为子祈祷文02/16 22:09
5F:→ afterxxxxx: 我同学还是吃得很开心然後他爸先崩溃了02/16 22:10
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.34.90.106 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Soft_Job/M.1734715337.A.213.html
6F:推 OyodoKai: 这个都中台而已啦 不用怕 12/21 01:40
7F:→ OyodoKai: 真正的核心老到连错误讯息都没有的 12/21 01:41
8F:推 neo5277: 复委托挂不知道是不是一样的原因 12/21 01:47
9F:推 OyodoKai: 某家银行核心系统有CVE9.8的漏洞 执行长盖章上线 不怕 12/21 01:49
10F:推 devilkool: 又 又 又是国泰 12/21 02:05
12F:→ yunf: 别人有心挖洞 全台湾应该会鸡飞狗跳 12/21 02:21
13F:→ yunf: 他们只是不挖而已 选在关键的时候才挖 12/21 02:21
14F:→ yunf: 你看今天道琼波动超过1100点 12/21 02:22
15F:→ yunf: 然後那个说法又刚好过了 12/21 02:23
16F:→ yunf: 如果你们还了解这些故事背後的故事你们就会觉得一切都很合理 12/21 02:23
19F:→ yunf: 在罩 12/21 02:27
20F:推 kmd: 重点是会吐这麽详细的讯息,该不会跑 debug mode 吧 12/21 02:34
22F:推 lchcoding: 骇客表示欣慰... 12/21 03:09
23F:→ yunf: 更新的目的其实只是为了让他掌握你系统漏洞是他可以用的 12/21 04:16
24F:推 kevin8197: opt存db? 有没有实作范例 12/21 07:12
25F:推 glwl40039: 银行真的笑烂 12/21 07:25
26F:推 AxelGod: 银行IT或乙方开发就屎中之屎 12/21 09:34
27F:→ AxelGod: 能不去就不要去, 12/21 09:34
28F:→ AxelGod: 风气就是根本没在想解决问题的 12/21 09:34
29F:推 ptta: 一楼好好笑 12/21 09:41
30F:→ v7q4: catch exception 直接印出来 12/21 10:36
31F:推 Arbin: 靠腰XD 这种错误都是写到Log内 怎麽往前端丢 12/21 10:42
32F:→ Obama19: 还好吧 又没有敏感资讯 你看到又能怎样? 12/21 10:43
33F:推 lturtsamuel: Oyodokai 笑死== 12/21 10:44
34F:→ Arbin: 确实没敏感资讯 不过现在大家都知道他们用MS SQL Server了 12/21 10:51
35F:→ Arbin: (? 12/21 10:51
36F:推 iq1000x: 银行用MS SQL Server是秘密吗? 12/21 11:23
37F:→ Arbin: 不是 我在讲干话 12/21 11:25
38F:推 B0988698088: 也许它筛选过了 storage这种就是没资安问题的messag 12/21 11:27
39F:→ B0988698088: e(? 12/21 11:27
40F:推 mathrew: 笑死,完全没有资安观念,一点点都没有,还秀讯息... 12/21 11:35
41F:推 hooll111: 这种扫白箱算低风险吧 我猜他们报告中高太多 所以低的先 12/21 11:40
42F:→ hooll111: 不改了 12/21 11:40
43F:→ hooll111: 不过现在被网友抓包 大概传到他主管那他还是得改XD 12/21 11:42
44F:推 qk3380888: 超好笑 12/21 12:42
45F:推 brandy: 我昨天想说...帐户怎麽了咧 12/21 13:04
46F:→ Merkle: 这用一个最简单的string length or key word filter就可以 12/21 14:13
47F:→ Merkle: 滤掉了 这都不做是多懒 12/21 14:13
48F:推 OyodoKai: 做了对考绩有帮助吗? 12/21 14:21
49F:→ OyodoKai: 万一加上去系统坏掉怎麽办? 我的考绩很重要耶 12/21 14:21
50F:→ OyodoKai: 等到出问题再修好它不就可以提升考绩 12/21 14:22
51F:推 DellSale999: Ex 本来就抓bug讯息用的 12/21 14:35
52F:推 x20165: 复委托也是出包 12/21 14:35
53F:推 CoNsTaR: 笑死,每次回台湾在 reddit 查台湾银行 ATM 之类的资讯得 12/21 15:12
54F:→ CoNsTaR: 到的评论都是 the most backwards banking system ever s 12/21 15:12
55F:→ CoNsTaR: een on earth 12/21 15:12
56F:→ Lordaeron: 这件事要讲,说上面鬼话的人,根本没待过欧美。 12/21 15:14
57F:推 CoNsTaR: 我的 Wise 帐号到现在还是不能存台币,国泰今年四月甚至 12/21 16:17
58F:→ CoNsTaR: 直接禁 Wise 12/21 16:17
59F:→ CoNsTaR: 每次要干嘛都要去便利商店 ATM,明明手机 app 30 秒就可 12/21 16:17
60F:→ CoNsTaR: 以完成的事变成一定要出门 12/21 16:17
61F:→ CoNsTaR: 而且回来第一个月就遇到两次便利商店 ATM 系统坏掉/维修 12/21 16:17
62F:→ CoNsTaR: 光这些我就完全不会想再用台湾银行了 12/21 16:17
63F:→ DrTech: 台湾的任何银行都要小心自己钱会不会变少。前阵子,发现台 12/21 17:46
64F:→ DrTech: 银乱扣我帐户股款,重复扣钱。还要人主动发现,打电话才退 12/21 17:46
65F:→ DrTech: 。还修了几个小时,有够弱。 12/21 17:46
66F:→ DrTech: 台湾的银行业,都是靠备份来保障资料安全的,出了事情就还 12/21 17:47
67F:→ DrTech: 原,完全没品质与信赖可言。 12/21 17:47
68F:推 Apache: 台湾根本不适合住人== 12/21 18:14
69F:→ AxelGod: 台湾不是不适合人住,是这边被人搞到觉得不适合人住 12/21 18:34
70F:推 IMBonjwa: 63 F滑坡太多了吧 12/21 18:42
71F:→ IMBonjwa: 国泰的问题也扯这麽远。虽说国泰不意外 12/21 18:42
72F:推 toole: 没有监控容量也太没规范了吧 12/21 19:46
73F:推 Ekmund: 看到错误讯息笑出来 XD 12/21 22:56
74F:→ superpandal: 这不算什麽资安问题 就是服务暂时不可用 12/21 23:02
75F:→ superpandal: 我也很喜欢这麽做 第一db就那几种 也没详细到版本 12/21 23:03
76F:→ superpandal: 第二曝露出来的讯息多半使用者已知 没注入问题是还好 12/21 23:05
77F:→ superpandal: 更严重的是server在回传的时候跟客户端说自己是用什 12/21 23:06
78F:→ superpandal: 麽技术写的 还不少框架和技术会这麽做 12/21 23:07
79F:→ superpandal: 这种db错误多半也都是runtime error 方便除错多半曝 12/21 23:11
80F:→ superpandal: 露出来的少少资讯也就容易开发时就没了 db 也不会傻 12/21 23:12
81F:→ superpandal: 到曝露很隐私的资讯 12/21 23:12
82F:→ superpandal: mssql倒是没用过 应该不会这麽傻 12/21 23:13
83F:→ alan3100: 别扯一堆 这讯息就是印到log client或web只显示不可用 12/21 23:13
84F:→ alan3100: 方便不是给你随便的理由 这种就手机开发前後端没切乾净 12/21 23:15
85F:→ superpandal: 然後呢? 资安问题? 首先我并与国泰没有任何关系 12/21 23:19
86F:→ superpandal: 实话实说就是这个问题不痛不痒 12/21 23:20
87F:→ superpandal: 对於资安来讲是这样 当然只回传错误是可以 12/21 23:22
88F:→ superpandal: 但我不觉得这讯息可以上升到资安级别 12/21 23:22
89F:→ superpandal: 有问题的资安问题太多了 而且一般人还不知道 12/21 23:23
90F:→ superpandal: 该注重的点不注重 鸡毛小事倒是拿放大镜 12/21 23:30
91F:→ superpandal: 资料库都不是第一门户的 第一门户是server 12/21 23:34
92F:→ superpandal: 说到曝露 浏览器本身还曝露了更多讯息 虽然我也是web 12/21 23:37
93F:→ superpandal: 仔 但凭良心讲web就不是什麽注重隐私的东西 12/21 23:37
94F:→ superpandal: 先把浏览器的洞全部堵上再来讨论资安的细节 首先clie 12/21 23:41
95F:→ superpandal: client端不安全就是通杀了 虽然这样资安人员应该会 12/21 23:42
96F:→ superpandal: 失业 12/21 23:43
97F:推 viper9709: 这错误讯息有点猛XD 12/22 00:13
98F:→ yunf: 那就麻烦web仔写一篇能堵住的来给菜鸡们上一课吧! 12/22 05:44
99F:→ yunf: 资安人员应该不会因爲这点失业要管的东西太多了又不是只有we 12/22 05:45
100F:→ yunf: b 12/22 05:45
101F:推 qqqlll666: 看起来还好啦 我觉得容量爆了比较夸张 啊不就还好今天 12/22 05:58
102F:→ qqqlll666: 炸的是minor db 12/22 05:58
103F:推 s56565566123: 线上debug 12/22 09:53
104F:→ mazdathree: 确实不算什麽资安问题 就是给使用者看到这串看不懂的 12/22 11:36
105F:→ mazdathree: 体验不好而已 12/22 11:36
106F:→ AxelGod: 怎可能不算资安问题? 12/22 11:49
107F:→ AxelGod: Hacker能得到更多资讯,真要规划攻击, 12/22 11:49
108F:→ AxelGod: 得到这些原始错误讯息只有好没有坏吧? 12/22 11:49
109F:→ umum29: 资安检查这种绝对不会过 因为我就遇过 还被拉去上课 12/22 12:02
110F:→ umum29: 楼上说的没错 让骇客知道愈多愈危险 我公司之前就被骇过 12/22 12:03
111F:→ umum29: 然後请palo alto network当顾问检查 就被纠正过这个问题 12/22 12:04
112F:→ umum29: 还有连web server的种类和版本都不该显示给使用者知道 12/22 12:05
114F:→ umum29: 我蛮惊讶居然蛮多人觉得这没关系 12/22 12:09
115F:→ alan3100: 懂得讲一句就懂 不懂的理由一大堆 12/22 12:28
116F:→ alan3100: 有些觉得肿脸充胖子比学新知识重要 反正不共事管他去死 12/22 12:33
117F:推 mathrew: 惊讶很多人觉得不是资安问题+1 12/22 12:49
118F:推 OyodoKai: 资安有比考绩重要吗? 12/22 13:46
119F:推 abccbaandy: 这种公司资安不是第一吗...平常一堆流程文件干啥的? 12/22 13:50
120F:→ abccbaandy: 金管会这时又装死了? 12/22 13:50
121F:推 OyodoKai: CVE9.8执行长都可以盖章惹 不要这麽怕 Team 银行 12/22 14:02
122F:→ invidia: open source 12/22 15:58
123F:→ superpandal: 堵住了当然有失业可能 因为现在web大行其道 web系统 12/22 16:58
124F:→ superpandal: 是一狗票 真非web的东西门槛也高 12/22 16:59
125F:→ superpandal: 那些说可以攻击的倒是攻攻看 真要攻进去server本来就 12/22 17:01
126F:→ superpandal: 有资安问题了 不用到db端 12/22 17:03
127F:→ superpandal: alan是不是不懂我在讲什麽 真的很好笑 很多自诩懂资 12/22 17:05
128F:→ superpandal: 安的都还在概念上打转 12/22 17:06
129F:→ superpandal: 骇客知道讯息越多越好那是指关键讯息 说真的你server 12/22 17:08
130F:→ superpandal: 都被攻破了後面是什麽db重要吗 12/22 17:08
131F:→ superpandal: db会提供自己在区网哪个host哪个port希望骇客找其它 12/22 17:10
132F:→ superpandal: 洞进入针对它吗 haha 12/22 17:11
133F:→ Firstshadow: 好! 大家不要吵架 :O 12/22 17:13
134F:→ superpandal: 说真的不懂机制不懂运作说懂资安都是假的 还共事... 12/22 17:18
135F:→ superpandal: 改天有时间写个server请alan或他的亲朋好友攻攻看好 12/22 17:20
136F:→ Arbin: 欧买尬爹斯 这也可以吵成这样 12/22 17:20
137F:→ Firstshadow: 确实捏 但某些单位的评估会认为那些也有风险捏 12/22 17:20
138F:→ superpandal: 了 一样曝露db错误讯息 12/22 17:20
139F:→ Firstshadow: 有些事不是工程师们说ok 上面就说ok :O 12/22 17:21
140F:→ Firstshadow: 好希望超级熊猫大大可以去制定iso标准... 12/22 17:22
141F:→ superpandal: 有些资安人员自己都不懂rd和运维技术跟着喊 12/22 17:24
142F:→ Arbin: 其实讲那麽多 银行端还不用以资安名义来说 用营运资讯外泄 12/22 17:27
143F:→ Arbin: (资料表名称)就有得把相关承办人员叫去念了... 12/22 17:27
144F:→ Arbin: 虽然这广义上来说也是资安问题就是 哈 12/22 17:28
145F:→ superpandal: 这与iso有什麽关系? 12/22 17:28
146F:→ superpandal: 要无限上纲曝露一点什麽都是可以的 但更像是斗争 12/22 17:32
147F:→ superpandal: 而不是检讨 12/22 17:32
148F:→ Arbin: ISO 27K吧 27001/27002算基本 12/22 17:33
149F:→ Arbin: 27014跟金融业有关 12/22 17:33
150F:→ Arbin: 如果公司有认真做的话 照上面ISO标准验是不会过没错 前提 12/22 17:34
151F:→ Arbin: 是要认真做... 12/22 17:34
152F:→ superpandal: 那就是管理规范而不是技术规范 12/22 17:36
153F:→ Firstshadow: 竟会问这与iso有什麽关系..在下有点失望了 超熊大大 12/22 17:36
154F:→ Arbin: 对是管理规范 但技术人员也要参考这些管理规范做事 所以有 12/22 17:38
155F:→ Arbin: 时候技术人员知道那可能没什麽 但在管理方面还是要遵守 12/22 17:38
156F:→ superpandal: 我确实不懂管理 不用失望什麽 12/22 17:38
157F:→ Firstshadow: 没事的 超级熊猫大 你的一些观念在下还是敬佩的 12/22 17:39
158F:→ superpandal: 我只要确保技术上给我管理一台机器没人可以攻破即可 12/22 17:41
159F:推 yoyo890121: 错误讯息不能直接印给前端是很基本的吧 12/22 18:08
160F:→ yoyo890121: 又不是在开发环境.. 不懂有啥好争的 12/22 18:08
161F:→ superpandal: 全部都你自己来你可以只显示通常错误 但现实环境很 12/22 18:12
162F:→ superpandal: 复杂的 过往相关银行的行事风格在本版已经讲很多 12/22 18:13
163F:→ superpandal: 什麽都要不到情况是很恐怖的 给我选我都选曝露 12/22 18:14
164F:推 kkes0001: 笑死居然会问和iso 有什麽关系 12/22 18:27
165F:→ superpandal: 原来问问都不行? 还要腥腥作态装客气楼上就接受? 12/22 19:07
166F:→ VL1003: 不是不行,只是你推文的态度感觉很熟这块,但资安最基本的 12/22 19:23
167F:→ VL1003: 的 iso 27k 你却又突然不熟悉了,有点神奇。 12/22 19:23
168F:→ Firstshadow: 人家超熊大大只是熟`技术规范`的 :( 12/22 19:25
169F:→ superpandal: 我没说我懂iso管理规范繁文缛节 12/22 19:31
170F:→ superpandal: 我只是懂技术 我知道怎麽做的近乎滴水不漏而已 12/22 19:33
171F:→ superpandal: 文中连水滴都不算的就另当别论 12/22 19:34
172F:→ TonyQ: ISO 27001 虽说是公司资安常导入的控制点检核/ISMS机制 12/23 08:02
173F:→ TonyQ: 但实务上 application 层/ 治理层的安全规范,本来就是不同 12/23 08:02
174F:→ TonyQ: 的专业内容...就跟会 iso 27001 的检核规范,跟能打红队是 12/23 08:03
175F:→ TonyQ: 完全不一样的事情一样。 12/23 08:03
176F:推 answermangtr: 笑死 12/23 09:30
177F:→ yunf: 别傻了不可能滴水不漏 如果真的那麽强的话你早就在cia 12/23 11:45
179F:→ yunf: 世界上多得是你看都没看过的漏洞 12/23 11:47
180F:→ Merkle: 先不讲这些资料到底有没有用 光後端往前端丢资料不检查 前 12/23 11:49
181F:→ Merkle: 端也不检查後端丢过来的资料内容直接show出来 稽核谁给过 12/23 11:49
187F:→ Firstshadow: 汤尼Q大大说的真好!在下只是刚好两边都略懂而已:Q 12/23 14:36
188F:→ darkMood: 没啥,只要钱不会被偷转走,都是小事啦。 12/23 16:40
189F:推 cmelo1515: 笑死 12/23 19:49
190F:→ superpandal: "近乎"滴水不漏 很难理解吗? 首先应用如果都是自己 12/23 19:54
191F:→ superpandal: 写的 防范下能出问题的就是底层设施 底层如果你又在 12/23 19:55
192F:→ superpandal: 套一些安全措施 如果有问题那差不多是系统层面有问题 12/23 19:56
193F:→ superpandal: 如果你不放在同个蓝子里那麽这个可能性又在被削弱 12/23 19:58
194F:→ superpandal: 能又再突破的那差不多是国家级在针对你 12/23 20:00
195F:→ superpandal: 基本上第一层能做好就差不多挡全部 我只相信我自己 12/23 20:02
196F:→ superpandal: 所以第一层肯定有好 外加知道哪些是很可能有问题 12/23 20:03
197F:→ superpandal: 的技术 避开即可免於很多麻烦 12/23 20:04
198F:→ superpandal: 哪些是垃圾技术都需要研究的 12/23 20:05
199F:→ superpandal: CVE搜一搜哪些老是在出问题的就可以排除很多了 12/23 20:10
200F:→ superpandal: 系统真的自带很多垃圾 什麽systemd pkexec都是 12/23 20:21
201F:推 OyodoKai: 看来楼上很适合加入银行IT 赞赞 12/23 20:34
202F:→ superpandal: 3以上只是成本最低的方法 12/23 20:35
203F:→ superpandal: 我不想加入也没机会加入 12/23 20:37
204F:推 OyodoKai: 资安就是你行你上喇 哈哈哈 12/23 21:09
205F:→ yunf: cve给你考古用的 这是地板不是天花板 还没有实战之前嘴防部 12/23 22:53
206F:→ yunf: 都是所谓近乎滴水不漏 12/23 22:53
208F:→ viper9709: 听起来满猛的... 12/23 23:56
210F:→ yunf: 只有老人才知道的史料 12/24 00:11
212F:→ yunf: 能就是这种感觉 12/24 01:18
213F:→ superpandal: 所以我才说成本最低 然後拿政府代表所有人 12/24 21:14
214F:→ superpandal: 真的太好笑了 政府资安本来就是纸糊的 12/24 21:15
215F:→ superpandal: 当然你贴的可以说明有特权可以突破政府的措施 12/24 21:17
216F:→ superpandal: 特权用户在电子系统层面都是致命的 12/24 21:20
217F:→ superpandal: win2003 haha 用这种东西就是把命交给别人 12/24 21:53
218F:→ yunf: 你可能还是不懂任何别人无法破解的东西不可能到你手上 12/24 23:26
219F:→ yunf: 水清则无鱼亘古名言 12/24 23:27
220F:→ yunf: 破解不一定是找到编码上的漏洞 12/24 23:27
223F:→ superpandal: 让人无法破解是靠自己 若非如此就是授人以柄 12/25 13:13
224F:→ superpandal: 大佬也不会闲的没事管你资安 12/25 13:17
225F:推 sachung28: 树大招风才会惹议 小卡拉米没人管 看来大树用户吸不少 12/25 22:05
226F:→ sachung28: 满成功 12/25 22:05
227F:→ yunf: 「最近常传飞机飞来飞去,其实都是假的,今天只要金融系统被 12/26 17:31
228F:→ yunf: 打趴,交易提款归零,电话不通,钱汇不出来,汇不进去,成 12/26 17:32
229F:→ yunf: 本又低又简单,马上(台湾)就打趴了。」 12/26 17:32
230F:→ yunf: 日航证实遭到网攻 国内外航班恐受影响 12/26 17:36
231F:→ superpandal: 要趴ddos都可趴 这又不得不说这其实也是厂商的阴谋 12/29 01:08
233F:推 marra: 楼上的点餐机出现摩斯马桶真的好笑!IT应该很惨!XD 01/02 02:57
234F:推 yesyesyesyes: 直接return ex, 笑了 01/02 17:06
238F:推 kingofsdtw: 可以挖到别人帐号密码吗? 01/25 19:10