作者te426odin (小胖老师)
看板Soft_Job
标题[讨论] 旅游公司个资外泄问题
时间Thu May 25 09:46:26 2017
最近新闻有两间旅游公司都爆出个资外泄的问题
1.雄X
https://goo.gl/N8ihs2
2.X乐
https://goo.gl/cPOALd
刚好本鲁闲闲没事去看了一下求职网
发现他们的程式设计都是徵.net体系的
本鲁也是学.net体系出身的
我记得其实asp.net本身的安全防护设定其实算严谨
照理说应该会闪过很多不必要的安全性问题(例如Server.HtmlEncode)
请问这是开发习惯问题 (例如SQL Injection)
还是.net 本身设定的问题啊
又或者是防火墙端地设定问题
因为自己本身也是在开发web程式,看到这样的新闻都会觉得有点怕怕的
不知道大家的想法是如何?
--
Ⅲ ▃▅◤◣道 ● ⊙⊙⊙ 佛 └=▆┘ ㄩ 儒 ψy
▊▎ ︵◢▇▅▄█ 见 ◤◥ @@@@ 见 ◢▆██◤ ▊▎ 见 z
▃◢◣▃ (▂▂▄ ▉█万杀 ◤╳◥ ﹫—— ﹫ 三渡 ◥▉ ︶︶◤◢◣ ▄▄ 天覆 e
▌▌ ◣ γ▇▇
ζ█▊物生 ◣δ◢ ι▇
▄▇
ι 千生 ◢s ▆
▆z◥※◤▋▍ 下生 l
▌▌◢﹨◢
█▉█◣◥灭始 ▉ζ▏ ◣█▊▉◤ 破斩 ◤▉█▉◤∕ ▌▌ 残归 l
◣◤◥ ◤▇▇▇◥ 元 ◣◢ ◢▇▇◣▏ 罪 ◤▇▇▇◥ ◣◤ 一 y
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 60.249.147.128
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Soft_Job/M.1495676799.A.555.html
1F:推 bcawosxy: 新闻似乎是说拿到员工帐密进而进到资料库, 所以跟 05/25 10:30
2F:→ bcawosxy: 员工的资安观念似乎比较有关连 05/25 10:30
3F:推 crossdunk: 阿摘是不是内贼 05/25 10:58
4F:→ robler: 资安问题大部份都是人的问题比较严重 05/25 11:30
5F:→ thinkniht: 你问他们公司或攻击的人啊...其他人也只能用猜的吧 05/25 11:46
6F:→ ChungLi5566: 资安要从制度面来管, 像ISO27001的规范 05/25 11:46
7F:→ ChungLi5566: 有规模的公司 上版会要求要有源码检测报告 05/25 11:47
8F:推 chuegou: 我是比较相信里面的人拿去卖啦XD 05/25 12:13
9F:→ bndan: 人的问题..特定技术漏洞通常会被标记起来... 05/25 12:16
10F:推 ian90911: 直接进资料库抓的话改帐号密码好像也没用了? 05/25 12:38
11F:→ pttworld: 如果是漏洞,新闻不会这麽小。因为微软。 05/25 13:23
12F:推 skitty: 被植木马 帐密管控不严 防火墙没挡好 百百种 05/25 15:47
13F:→ bbser: 社交工程简单多了。 05/25 17:09
14F:推 prag222: MYSQL官网都爆过 SQL injection了 拜托 05/25 21:07
15F:推 alog: 走标准、code review 05/25 23:00
16F:→ alog: 框架提供的是一套标准 但是你防不了工程师当下脑残滥用 05/25 23:00
17F:→ alog: 制造了一个攻击点可以盲注测出来 05/25 23:01
18F:→ alog: 外部再上一套软体或是硬体式的设定好规则来做通报 至少可以 05/25 23:01
19F:→ alog: 短时间阻止不必要的操作 05/25 23:01
20F:→ alog: 还有限定某些路径跟功能 重要的部份都得 限制地区跟电信线 05/25 23:03
21F:→ alog: 路 05/25 23:03
22F:推 alog: 以前做的系统是连在特定时段管理者都不能看会员资料、或存存 05/25 23:05
23F:→ alog: 取到一个次数时直接通报上层跟股东 05/25 23:05
24F:推 comesuck: 请怎样的人开发,系统就会长怎样 05/25 23:37