作者nakahusa (NA)
看板Soft_Job
標題Fw: [問卦] 有沒有很多旅行社網站都可能有漏洞的八卦
時間Wed Jun 7 04:07:10 2017
※ [本文轉錄自 Gossiping 看板 #1PDmVH6r ]
作者: nakahusa (NA) 看板: Gossiping
標題: [問卦] 有沒有很多旅行社網站都可能有漏洞的八卦
時間: Wed Jun 7 03:51:42 2017
最近好幾個旅行社個資外洩的新聞,
好奇孤狗了幾個旅行社的網站來看,
結果隨便試了3個,就發現2個可能有含有漏洞的…
為了證明不是隨便虎爛,皆附上圖片。
PS:圖片中網址列裡的 %27 轉成文字就是「'」,內行懂的。
範例1:首頁最明顯的搜尋框,每一個欄位都可能有 SQL Injection 問題
http://i.imgur.com/NpI684B.png
範例2:知名旅行社,網站右下有個按鈕點進去,每一個網址參數都有 SQL Injection 問題
http://i.imgur.com/hqqDilG.png
最嚴重的 SQL Injection 都這麼容易發現了,
已經不敢繼續想下去了 XD
有沒有最好 Coding 等級練到多少再寫重要系統的卦?
-----
剛在八卦 PO 了一篇,感嘆台灣現在的資訊軟體環境真的蠻糟的,
很多公司給薪不高,可能請到經驗不足的人,
就讓他負責重要的系統開發,
甚至是一些專門在開發軟體的公司都有這種情況,
資安漏洞一堆的系統就拿出來賣錢了。
當然,注重這方面的公司也不少就是了,
不過這不是應該大家都要注意的嗎...
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.136.23.46
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Gossiping/M.1496778705.A.1B5.html
1F:推 jojoStar: 一間旅行社公司完全不使用網路 你參考看看 06/07 03:53
2F:→ formatted: Trivago 06/07 03:54
3F:推 ikai99: 前一陣子某房仲的資料庫密碼都看的到。 06/07 04:03
4F:→ nakahusa: 一樓認真? 06/07 04:03
5F:→ ikai99: 一直到改版才修掉bug 06/07 04:04
6F:→ nakahusa: 不過範例2真的蠻訝異的...畢竟蠻大間的 06/07 04:04
7F:推 woogee: show tables;truncate ...; 06/07 04:04
上面是轉錄前的推文
8F:→ tw689: 旅行社請工程師的薪水大多就是低於市場行情 06/07 04:12
9F:→ tw689: 就只能找到低於市場水平的人 06/07 04:13
10F:→ tw689: 當然不是說這種新人都不能用,但是你連一個正常的Senior或 06/07 04:15
11F:→ tw689: 有點程度的都不願意找 那就是自己承擔後果 06/07 04:15
12F:→ nakahusa: 應該是說新人經驗不足時,不應該讓他直接參與重要系統的 06/07 04:18
13F:→ nakahusa: 開發 06/07 04:18
14F:→ nakahusa: 我指的直接參與是指 coding 或是 coding 完沒有人 06/07 04:19
15F:→ nakahusa: review 06/07 04:19
※ 編輯: nakahusa (223.137.6.239), 06/07/2017 04:45:39
16F:噓 shinmeteor: 旅行社的網站有什麼資安可言? 06/07 06:04
17F:→ Louis5213: SQL Injection應該是連學生作品都應該要做出預防的 06/07 06:07
18F:→ buper: 對他們來說,他們只願意生氣工讀生寫出這種東西,然後拿更 06/07 06:41
19F:→ buper: 低的薪水去找外包=_= 06/07 06:41
20F:→ t78973677: 工程師有bug可以修了 06/07 07:50
21F:→ robler: 有啥好意外的 你知道旅行社的薪水有多低嗎.. 06/07 07:54
22F:推 skitty: 通常是出完包才會review 沒出事主管也不會去管 06/07 09:32
23F:推 jack0204: 這很正常啊,沒能力開規格跟驗收,別人就隨便寫寫 06/07 09:48
24F:推 mark0405: 因為不少旅行社買套裝的旅行網站阿....... 06/07 09:55
25F:推 Eric0605: 這些都2,3萬工程師寫的 你還能要求什麼 06/07 10:05
26F:→ dreamnook: 最近正好在補完這個部分XD 06/07 10:33
27F:→ jennya: 話說做sql injection測試會不會就有法律問題啊? 06/07 10:54
測試是沒有問題的,更何況我這只是在輸入框打個「'」,
就在 enter 隔壁,一般人在按 enter 時不小心按到都有可能勒。
主要是看測試時,是不是真的有進一步的使用這個漏洞,
進而去取得個資或是入侵的動作,
國外有些白帽 Hacker 的爭議就是這樣來的,
白帽發現漏洞時會繼續進行下一步動作,
驗證漏洞是否確實存在,若確定的話還會直接指名公開。
就像前陣子 Google 發現微軟漏洞時,
會先通知微軟,限期修復,
期限到時就會直接公開也是類似的做法。
28F:→ ssccg: 其實大部分的程式教學也都不把安全程式當教學目標,會動就 06/07 11:05
29F:→ ssccg: 好,要不然這根本不應該是經驗問題 06/07 11:07
30F:→ dreamnook: 大部分的程式教學都是考倒學生為目標(X 06/07 11:11
31F:→ vi000246: 我們系上網站也是 跟實習廠商合作弄的系網被發現漏洞 06/07 12:22
32F:→ vi000246: 回報了也不修 去烏雲查 半年前就有人回報了 06/07 12:22
33F:推 keyut2433: sql injection不是基本中的基本嗎? 06/07 12:24
34F:推 stosto: 其實都是故意埋的 06/07 12:30
35F:→ crossdunk: 旅行社網頁全端工程師,大概是25k 06/07 12:38
36F:→ crossdunk: 除非是雄獅那種資本額比較大,比較靠電商在賣的 06/07 12:39
37F:→ crossdunk: 才會比較高,像是易遊網< 06/07 12:39
38F:→ crossdunk: 喔對了,在台北喔 06/07 12:39
39F:→ bobju: 很多旅行社沒有rd, 就外包出去,承包商也只能做到堪用的程 06/07 13:45
40F:→ bobju: 度而已,連最基本的網站安全也顧不上。 06/07 13:45
※ 編輯: nakahusa (223.137.180.110), 06/07/2017 13:52:02
41F:推 f124: 易遊網也沒多高阿...XD 06/07 15:07
42F:→ crossdunk: 但比起一般中小型旅行社算高了,易遊網薪資沒有超過25K 06/07 16:26
43F:→ crossdunk: 嗎? 06/07 16:26
44F:→ ChungLi5566: 源碼檢測的工具不便宜,檢測完改程式也是一筆錢 06/07 22:46
45F:→ ChungLi5566: second order sql injection, XSS, XSRF...一堆都要 06/07 22:49
46F:→ ChungLi5566: 防 06/07 22:49
47F:→ bndan: ..你在想什麼? 這些通常都是請不起的情況 隨便拿人塞一塞就 06/08 19:12
48F:→ bndan: 開始做 然後亂做 做出一堆滿滿資安問號的"站" 再來號稱XX平 06/08 19:13
49F:→ bndan: 台 然後連個資法的問題也不去管 資料被摸走 客人被打詐騙電 06/08 19:13
50F:→ bndan: 話 他們還是隨便...這種就是標準的台灣技術隨便的文化產生 06/08 19:14
51F:→ bndan: 垃圾賺錢模式... 06/08 19:16
52F:→ bndan: 已經看到某旅遊平台在165登榜數次第1..但人家還是沒要沒緊 06/08 19:17
53F:→ bndan: 只能建議在意資安的台灣人 沒事就別去這些站上輸入資料... 06/08 19:17
54F:→ ilmb1314: 面試過開3萬的連鎖旅行社 06/11 03:22
55F:推 yoa0930: 旅行社通常是請外面公司做網頁設計,但往往製作好A版,老 06/15 06:59
56F:→ yoa0930: 闆會要做到A+B+C,然後嫌貴。好一點公司會自己撰寫,但都 06/15 06:59
57F:→ yoa0930: 是美編來兼職(看104職缺)。 06/15 06:59