NetSecurity 板


LINE

※ [本文轉錄自 startup 看板 #1Gf9n5Ro ] 作者: LaPass (LaPass) 看板: startup 標題: [閒聊] 無形成本就在這裡 時間: Thu Nov 15 15:39:47 2012 被XXS攻擊搞到停站的網站 http://f23ko.com/432/popo-tw http://www.popo.tw/ http://i.imgur.com/07WBw.jpg
http://i.imgur.com/LyLB7.jpg
雖然聽別人講過這次攻擊的手法 但我PO這篇的重點跟技術無關,只是借題發發牢騷而已 簡單來講,就是這個站被駭到讓站方關站維修了 其實..... 那個漏洞已經足已將使用者資料給撈走,而且不留任何痕跡 那駭客會這麼高調是為了把漏洞給桶出來 我自己本身是寫網頁程式的 主要工作的是在後端 看到這個畫面,感觸很深 有些看不到的東西,是很貴的 很多防護、撰寫程式要注意的細節,很傷神又費工 但客戶、老闆、主管往往看不到,也不會去看那些地方 他們只會看、也只看得懂那些前端部分 例如版面怎麼排、圖漂不漂亮、滑鼠移上去會不會出現提示訊息之類的小地方 而且評鑑進度時,也只會看XXX功能有沒有完成之類的 安全性等功能,通常會被忽略 因為客戶不懂、也不會去注意這一方面 有時候,客戶可能也會有一些安全性上的要求 例如說,要求變更私人資料時要再次輸入密碼 但是,該怎麼實行又是個大問題 我看過只出現個視窗驗證密碼,但是session cookies全部都沒動 也就是說,那個驗證功能根本是「假的」 頂多防止,別人趁使用者離開電腦時去修改他的資料而已 要探究這種現象原因,大概又是因為趕工、規格變動的關係 而有意無意把那些考量給忽略了 其實,要寫出一個堅固、好的程式,需要縝密思考 很多非預期的使用者行為,根本不是客戶規畫中會去想的 但如果要把資安問題納入考量,這些都是寫程式時要去想、做的功能 或許有些剛進入這一行的人會去思考這些東西 但是,去做了之後就會發現,客戶、主管根本不會感激你做了這些防護 只會因為你沒使用最快的方式把功能給做出來,而發火、扣款等 而且,多做防護的另一個負面效果 就是當客戶要求變更規格時,容易讓程式變得難以修改 有時候流程、規格變化之大,讓人難以想像 老實說,潛在漏洞,並不是那麼容易出問題 我曾經在一個已經運行將近十年的網頁系統上發現一個重大漏洞 而且這個漏洞是在系統的核心元件上 也就是說 這十年間 不論是在哪個網頁頁面,都可以用幾行script 把整個系統的資料庫整個幹掉 但這個漏洞卻這樣沉睡了十年,沒人發現過..... 所以..... 懂程式、懂攻擊的人並不多 即使一個程式設計師了解安全性的嚴重性 在這種得過且過的環境下,久而久之,也就不會在乎那些東西 當程式設計師變成主管、老闆時 他也知道在客戶的眼中,安全性的順位排在很後面 自然會叫屬下先弄出漂亮的介面跟華麗的flash來討客戶開心 而把安全問題忽略掉了 反正,出問題時,吃虧的是客戶,也不是自己 --



※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 61.59.16.65
1F:噓 koller:懂程式、懂攻擊的人並不多....我笑了 11/15 17:20
2F:→ LaPass:樓上的水桶紀錄蠻輝煌的... 11/15 18:53
3F:推 Giuliani:優文 11/15 21:26
4F:推 GG5:大推文 深感我心呀!!最近接到一案就是老闆根本不重視資安 11/15 21:29
5F:→ GG5:只注重網站用最快最簡單的方式做,我寧願不做免得後患 11/15 21:30
6F:推 kongyeah:滿有道理的 11/16 12:25
7F:推 snaketsai:不太懂koller噓是在反對哪點? 11/16 12:42



※ 發信站: 批踢踢實業坊(ptt.cc)
※ 轉錄者: LaPass (61.59.16.65), 時間: 11/16/2012 13:54:00 ※ 編輯: LaPass 來自: 61.59.16.65 (11/16 14:36)
8F:推 asadfish:客戶、主管根本不會感激你做了這些防護...(淚) 11/16 18:55
9F:→ monghan:套一句分析師的話...資安是有錢時才會在乎的附加價值... 11/21 15:37
10F:→ Antarez:所以資安已經是獨立出來的部門 而不是併在development裡了 02/21 07:46
11F:推 sillymoon13:等痛過一次就知道資安的重要了 02/22 10:31







like.gif 您可能會有興趣的文章
icon.png[問題/行為] 貓晚上進房間會不會有憋尿問題
icon.pngRe: [閒聊] 選了錯誤的女孩成為魔法少女 XDDDDDDDDDD
icon.png[正妹] 瑞典 一張
icon.png[心得] EMS高領長版毛衣.墨小樓MC1002
icon.png[分享] 丹龍隔熱紙GE55+33+22
icon.png[問題] 清洗洗衣機
icon.png[尋物] 窗台下的空間
icon.png[閒聊] 双極の女神1 木魔爵
icon.png[售車] 新竹 1997 march 1297cc 白色 四門
icon.png[討論] 能從照片感受到攝影者心情嗎
icon.png[狂賀] 賀賀賀賀 賀!島村卯月!總選舉NO.1
icon.png[難過] 羨慕白皮膚的女生
icon.png閱讀文章
icon.png[黑特]
icon.png[問題] SBK S1安裝於安全帽位置
icon.png[分享] 舊woo100絕版開箱!!
icon.pngRe: [無言] 關於小包衛生紙
icon.png[開箱] E5-2683V3 RX480Strix 快睿C1 簡單測試
icon.png[心得] 蒼の海賊龍 地獄 執行者16PT
icon.png[售車] 1999年Virage iO 1.8EXi
icon.png[心得] 挑戰33 LV10 獅子座pt solo
icon.png[閒聊] 手把手教你不被桶之新手主購教學
icon.png[分享] Civic Type R 量產版官方照無預警流出
icon.png[售車] Golf 4 2.0 銀色 自排
icon.png[出售] Graco提籃汽座(有底座)2000元誠可議
icon.png[問題] 請問補牙材質掉了還能再補嗎?(台中半年內
icon.png[問題] 44th 單曲 生寫竟然都給重複的啊啊!
icon.png[心得] 華南紅卡/icash 核卡
icon.png[問題] 拔牙矯正這樣正常嗎
icon.png[贈送] 老莫高業 初業 102年版
icon.png[情報] 三大行動支付 本季掀戰火
icon.png[寶寶] 博客來Amos水蠟筆5/1特價五折
icon.pngRe: [心得] 新鮮人一些面試分享
icon.png[心得] 蒼の海賊龍 地獄 麒麟25PT
icon.pngRe: [閒聊] (君の名は。雷慎入) 君名二創漫畫翻譯
icon.pngRe: [閒聊] OGN中場影片:失蹤人口局 (英文字幕)
icon.png[問題] 台灣大哥大4G訊號差
icon.png[出售] [全國]全新千尋侘草LED燈, 水草

請輸入看板名稱,例如:Boy-Girl站內搜尋

TOP