作者joetsai (路人酒菜)
看板Soft_Job
標題[討論] 中國漏洞通報平臺烏雲
時間Sun Mar 6 13:10:57 2016
或許是我太孤陋寡聞 昨天跟朋友閒聊才知道這地方
http://www.wooyun.org/
裡面看到很多台灣的網站有 SQL Injection 的問題
小弟想說這不是很常見的資安常識嗎!?
根據我工作的經驗 可以歸納出原因整理如下
1. Legacy System
2. 便宜行事 組 SQL 字串比較直覺 也沒有驗證資料
3. 對 Framework 不熟 誤用
4. 資安常識不足
不知道版上的各位強者大大們 怎麼看這件事情
謝謝
--
posted from bbs reader hybrid on my motorola Nexus 6
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.83.238.72
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Soft_Job/M.1457241060.A.75C.html
1F:→ y3k: 我覺得2最多XD 03/06 13:15
2F:推 SkyPlus: PM: SQL 查詢改幾個字就好了吧, 下班前記得 commit 03/06 13:21
3F:→ testPtt: 發案人沒要求阿 $_$ 03/06 13:30
4F:推 now99: 沒有漏洞掃描的檢核機制吧 03/06 13:55
5F:→ duckfly: 大部份台商只會用低薪聘猴子,做出來的品質能好到哪 03/06 14:03
6F:推 bobju: 就趕著上線, 該做的安全測試都沒做 03/06 14:33
7F:→ pooznn: 剛出校門的 幾個會去注意資安問題 程式能動能交差就好 03/06 14:35
8F:→ abccbaandy: 除非自己組sql,不然很多framework都幫你做掉了吧 03/06 14:41
9F:推 yyc1217: 資安的概念應該和if then或for loop一起教 03/06 14:45
10F:推 jinmin88: 會發生的原因最主要應該是該單位主管沒有sense 03/06 15:21
11F:→ jinmin88: 然後公司條件差 只能找剛畢業的..這種問題就很容易發生 03/06 15:22
12F:→ ChungLi5566: 公司沒買弱掃工具或是工具太舊掃不出來 03/06 18:59
※ 編輯: joetsai (36.235.195.76), 03/06/2016 19:57:16
13F:→ viper9709: 1,2,4都很多吧 03/06 22:05
14F:→ bndan: 個人看法比較負面.3和4才是主因...與其說是訓練的問題 不如 03/07 00:46
15F:→ bndan: 說這是業界不夠成熟就能賺錢的問題(賺錢門檻太低 = =|||) 03/07 00:46
16F:→ bndan: 應該說 "在技術上"的賺錢門檻遠不及其他項目... 03/07 00:47
17F:推 blackwindy: 你覺得領22K 28K的需要搞資安嗎 03/07 03:03
18F:→ blackwindy: 應該說 你真的以為台灣公司有QA嗎... 03/07 03:03
19F:→ atpx: 時程與成本問題....顧客就是這麼快要 03/07 09:09
20F:→ atpx: 你沒交差就是違約 03/07 09:09
21F:→ MonyemLi: 專案的目標就是驗收.壓榨久了,能動就是好code. 03/07 11:16
22F:推 Masakiad: 沒sense的老一輩主管還真不少,尤其接案公司速度功能導 03/07 18:34
23F:→ Masakiad: 向,沒把資安部分放驗收條件。 03/07 18:34