作者Merkle (塔綠班婊子立牌坊)
看板Soft_Job
標題[討論] 國泰出這包不太行吧
時間Sat Dec 21 01:22:13 2024
http://i.imgur.com/NpicdAz.jpg
http://i.imgur.com/EUgYxKn.jpg
蠻屌的
直接整個錯誤訊息string吐回去給前端
吐給前端連資料內容判斷都不做直接吐回去
號稱資安最重要的金融業搞這樣
真的蠻屌的
--
1F:推 afterxxxxx: 我高中同學兄弟倆愛吃麥當勞常跑去偷吃 他爸有次生氣02/16 22:07
2F:→ Merkle: 就射了02/16 22:08
3F:→ afterxxxxx: 了說愛吃就讓你們吃個夠 然後連續兩個禮拜晚餐都吃麥02/16 22:09
4F:→ Merkle: 克阿瑟為子祈禱文02/16 22:09
5F:→ afterxxxxx: 我同學還是吃得很開心然後他爸先崩潰了02/16 22:10
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.34.90.106 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Soft_Job/M.1734715337.A.213.html
6F:推 OyodoKai: 這個都中台而已啦 不用怕 12/21 01:40
7F:→ OyodoKai: 真正的核心老到連錯誤訊息都沒有的 12/21 01:41
8F:推 neo5277: 複委託掛不知道是不是一樣的原因 12/21 01:47
9F:推 OyodoKai: 某家銀行核心系統有CVE9.8的漏洞 執行長蓋章上線 不怕 12/21 01:49
10F:推 devilkool: 又 又 又是國泰 12/21 02:05
12F:→ yunf: 別人有心挖洞 全台灣應該會雞飛狗跳 12/21 02:21
13F:→ yunf: 他們只是不挖而已 選在關鍵的時候才挖 12/21 02:21
14F:→ yunf: 你看今天道瓊波動超過1100點 12/21 02:22
15F:→ yunf: 然後那個說法又剛好過了 12/21 02:23
16F:→ yunf: 如果你們還了解這些故事背後的故事你們就會覺得一切都很合理 12/21 02:23
19F:→ yunf: 在罩 12/21 02:27
20F:推 kmd: 重點是會吐這麼詳細的訊息,該不會跑 debug mode 吧 12/21 02:34
22F:推 lchcoding: 駭客表示欣慰... 12/21 03:09
23F:→ yunf: 更新的目的其實只是為了讓他掌握你系統漏洞是他可以用的 12/21 04:16
24F:推 kevin8197: opt存db? 有沒有實作範例 12/21 07:12
25F:推 glwl40039: 銀行真的笑爛 12/21 07:25
26F:推 AxelGod: 銀行IT或乙方開發就屎中之屎 12/21 09:34
27F:→ AxelGod: 能不去就不要去, 12/21 09:34
28F:→ AxelGod: 風氣就是根本沒在想解決問題的 12/21 09:34
29F:推 ptta: 一樓好好笑 12/21 09:41
30F:→ v7q4: catch exception 直接印出來 12/21 10:36
31F:推 Arbin: 靠腰XD 這種錯誤都是寫到Log內 怎麼往前端丟 12/21 10:42
32F:→ Obama19: 還好吧 又沒有敏感資訊 你看到又能怎樣? 12/21 10:43
33F:推 lturtsamuel: Oyodokai 笑死== 12/21 10:44
34F:→ Arbin: 確實沒敏感資訊 不過現在大家都知道他們用MS SQL Server了 12/21 10:51
35F:→ Arbin: (? 12/21 10:51
36F:推 iq1000x: 銀行用MS SQL Server是秘密嗎? 12/21 11:23
37F:→ Arbin: 不是 我在講幹話 12/21 11:25
38F:推 B0988698088: 也許它篩選過了 storage這種就是沒資安問題的messag 12/21 11:27
39F:→ B0988698088: e(? 12/21 11:27
40F:推 mathrew: 笑死,完全沒有資安觀念,一點點都沒有,還秀訊息... 12/21 11:35
41F:推 hooll111: 這種掃白箱算低風險吧 我猜他們報告中高太多 所以低的先 12/21 11:40
42F:→ hooll111: 不改了 12/21 11:40
43F:→ hooll111: 不過現在被網友抓包 大概傳到他主管那他還是得改XD 12/21 11:42
44F:推 qk3380888: 超好笑 12/21 12:42
45F:推 brandy: 我昨天想說...帳戶怎麼了咧 12/21 13:04
46F:→ Merkle: 這用一個最簡單的string length or key word filter就可以 12/21 14:13
47F:→ Merkle: 濾掉了 這都不做是多懶 12/21 14:13
48F:推 OyodoKai: 做了對考績有幫助嗎? 12/21 14:21
49F:→ OyodoKai: 萬一加上去系統壞掉怎麼辦? 我的考績很重要耶 12/21 14:21
50F:→ OyodoKai: 等到出問題再修好它不就可以提升考績 12/21 14:22
51F:推 DellSale999: Ex 本來就抓bug訊息用的 12/21 14:35
52F:推 x20165: 複委託也是出包 12/21 14:35
53F:推 CoNsTaR: 笑死,每次回臺灣在 reddit 查臺灣銀行 ATM 之類的資訊得 12/21 15:12
54F:→ CoNsTaR: 到的評論都是 the most backwards banking system ever s 12/21 15:12
55F:→ CoNsTaR: een on earth 12/21 15:12
56F:→ Lordaeron: 這件事要講,說上面鬼話的人,根本沒待過歐美。 12/21 15:14
57F:推 CoNsTaR: 我的 Wise 帳號到現在還是不能存臺幣,國泰今年四月甚至 12/21 16:17
58F:→ CoNsTaR: 直接禁 Wise 12/21 16:17
59F:→ CoNsTaR: 每次要幹嘛都要去便利商店 ATM,明明手機 app 30 秒就可 12/21 16:17
60F:→ CoNsTaR: 以完成的事變成一定要出門 12/21 16:17
61F:→ CoNsTaR: 而且回來第一個月就遇到兩次便利商店 ATM 系統壞掉/維修 12/21 16:17
62F:→ CoNsTaR: 光這些我就完全不會想再用臺灣銀行了 12/21 16:17
63F:→ DrTech: 台灣的任何銀行都要小心自己錢會不會變少。前陣子,發現台 12/21 17:46
64F:→ DrTech: 銀亂扣我帳戶股款,重複扣錢。還要人主動發現,打電話才退 12/21 17:46
65F:→ DrTech: 。還修了幾個小時,有夠弱。 12/21 17:46
66F:→ DrTech: 台灣的銀行業,都是靠備份來保障資料安全的,出了事情就還 12/21 17:47
67F:→ DrTech: 原,完全沒品質與信賴可言。 12/21 17:47
68F:推 Apache: 台灣根本不適合住人== 12/21 18:14
69F:→ AxelGod: 台灣不是不適合人住,是這邊被人搞到覺得不適合人住 12/21 18:34
70F:推 IMBonjwa: 63 F滑坡太多了吧 12/21 18:42
71F:→ IMBonjwa: 國泰的問題也扯這麼遠。雖說國泰不意外 12/21 18:42
72F:推 toole: 沒有監控容量也太沒規範了吧 12/21 19:46
73F:推 Ekmund: 看到錯誤訊息笑出來 XD 12/21 22:56
74F:→ superpandal: 這不算什麼資安問題 就是服務暫時不可用 12/21 23:02
75F:→ superpandal: 我也很喜歡這麼做 第一db就那幾種 也沒詳細到版本 12/21 23:03
76F:→ superpandal: 第二曝露出來的訊息多半使用者已知 沒注入問題是還好 12/21 23:05
77F:→ superpandal: 更嚴重的是server在回傳的時候跟客戶端說自己是用什 12/21 23:06
78F:→ superpandal: 麼技術寫的 還不少框架和技術會這麼做 12/21 23:07
79F:→ superpandal: 這種db錯誤多半也都是runtime error 方便除錯多半曝 12/21 23:11
80F:→ superpandal: 露出來的少少資訊也就容易開發時就沒了 db 也不會傻 12/21 23:12
81F:→ superpandal: 到曝露很隱私的資訊 12/21 23:12
82F:→ superpandal: mssql倒是沒用過 應該不會這麼傻 12/21 23:13
83F:→ alan3100: 別扯一堆 這訊息就是印到log client或web只顯示不可用 12/21 23:13
84F:→ alan3100: 方便不是給你隨便的理由 這種就手機開發前後端沒切乾淨 12/21 23:15
85F:→ superpandal: 然後呢? 資安問題? 首先我並與國泰沒有任何關係 12/21 23:19
86F:→ superpandal: 實話實說就是這個問題不痛不癢 12/21 23:20
87F:→ superpandal: 對於資安來講是這樣 當然只回傳錯誤是可以 12/21 23:22
88F:→ superpandal: 但我不覺得這訊息可以上升到資安級別 12/21 23:22
89F:→ superpandal: 有問題的資安問題太多了 而且一般人還不知道 12/21 23:23
90F:→ superpandal: 該注重的點不注重 雞毛小事倒是拿放大鏡 12/21 23:30
91F:→ superpandal: 資料庫都不是第一門戶的 第一門戶是server 12/21 23:34
92F:→ superpandal: 說到曝露 瀏覽器本身還曝露了更多訊息 雖然我也是web 12/21 23:37
93F:→ superpandal: 仔 但憑良心講web就不是什麼注重隱私的東西 12/21 23:37
94F:→ superpandal: 先把瀏覽器的洞全部堵上再來討論資安的細節 首先clie 12/21 23:41
95F:→ superpandal: client端不安全就是通殺了 雖然這樣資安人員應該會 12/21 23:42
96F:→ superpandal: 失業 12/21 23:43
97F:推 viper9709: 這錯誤訊息有點猛XD 12/22 00:13
98F:→ yunf: 那就麻煩web仔寫一篇能堵住的來給菜雞們上一課吧! 12/22 05:44
99F:→ yunf: 資安人員應該不會因爲這點失業要管的東西太多了又不是只有we 12/22 05:45
100F:→ yunf: b 12/22 05:45
101F:推 qqqlll666: 看起來還好啦 我覺得容量爆了比較誇張 啊不就還好今天 12/22 05:58
102F:→ qqqlll666: 炸的是minor db 12/22 05:58
103F:推 s56565566123: 線上debug 12/22 09:53
104F:→ mazdathree: 確實不算什麼資安問題 就是給使用者看到這串看不懂的 12/22 11:36
105F:→ mazdathree: 體驗不好而已 12/22 11:36
106F:→ AxelGod: 怎可能不算資安問題? 12/22 11:49
107F:→ AxelGod: Hacker能得到更多資訊,真要規劃攻擊, 12/22 11:49
108F:→ AxelGod: 得到這些原始錯誤訊息只有好沒有壞吧? 12/22 11:49
109F:→ umum29: 資安檢查這種絕對不會過 因為我就遇過 還被拉去上課 12/22 12:02
110F:→ umum29: 樓上說的沒錯 讓駭客知道愈多愈危險 我公司之前就被駭過 12/22 12:03
111F:→ umum29: 然後請palo alto network當顧問檢查 就被糾正過這個問題 12/22 12:04
112F:→ umum29: 還有連web server的種類和版本都不該顯示給使用者知道 12/22 12:05
114F:→ umum29: 我蠻驚訝居然蠻多人覺得這沒關係 12/22 12:09
115F:→ alan3100: 懂得講一句就懂 不懂的理由一大堆 12/22 12:28
116F:→ alan3100: 有些覺得腫臉充胖子比學新知識重要 反正不共事管他去死 12/22 12:33
117F:推 mathrew: 驚訝很多人覺得不是資安問題+1 12/22 12:49
118F:推 OyodoKai: 資安有比考績重要嗎? 12/22 13:46
119F:推 abccbaandy: 這種公司資安不是第一嗎...平常一堆流程文件幹啥的? 12/22 13:50
120F:→ abccbaandy: 金管會這時又裝死了? 12/22 13:50
121F:推 OyodoKai: CVE9.8執行長都可以蓋章惹 不要這麼怕 Team 銀行 12/22 14:02
122F:→ invidia: open source 12/22 15:58
123F:→ superpandal: 堵住了當然有失業可能 因為現在web大行其道 web系統 12/22 16:58
124F:→ superpandal: 是一狗票 真非web的東西門檻也高 12/22 16:59
125F:→ superpandal: 那些說可以攻擊的倒是攻攻看 真要攻進去server本來就 12/22 17:01
126F:→ superpandal: 有資安問題了 不用到db端 12/22 17:03
127F:→ superpandal: alan是不是不懂我在講什麼 真的很好笑 很多自詡懂資 12/22 17:05
128F:→ superpandal: 安的都還在概念上打轉 12/22 17:06
129F:→ superpandal: 駭客知道訊息越多越好那是指關鍵訊息 說真的你server 12/22 17:08
130F:→ superpandal: 都被攻破了後面是什麼db重要嗎 12/22 17:08
131F:→ superpandal: db會提供自己在區網哪個host哪個port希望駭客找其它 12/22 17:10
132F:→ superpandal: 洞進入針對它嗎 haha 12/22 17:11
133F:→ Firstshadow: 好! 大家不要吵架 :O 12/22 17:13
134F:→ superpandal: 說真的不懂機制不懂運作說懂資安都是假的 還共事... 12/22 17:18
135F:→ superpandal: 改天有時間寫個server請alan或他的親朋好友攻攻看好 12/22 17:20
136F:→ Arbin: 歐買尬爹斯 這也可以吵成這樣 12/22 17:20
137F:→ Firstshadow: 確實捏 但某些單位的評估會認為那些也有風險捏 12/22 17:20
138F:→ superpandal: 了 一樣曝露db錯誤訊息 12/22 17:20
139F:→ Firstshadow: 有些事不是工程師們說ok 上面就說ok :O 12/22 17:21
140F:→ Firstshadow: 好希望超級熊貓大大可以去制定iso標準... 12/22 17:22
141F:→ superpandal: 有些資安人員自己都不懂rd和運維技術跟著喊 12/22 17:24
142F:→ Arbin: 其實講那麼多 銀行端還不用以資安名義來說 用營運資訊外洩 12/22 17:27
143F:→ Arbin: (資料表名稱)就有得把相關承辦人員叫去唸了... 12/22 17:27
144F:→ Arbin: 雖然這廣義上來說也是資安問題就是 哈 12/22 17:28
145F:→ superpandal: 這與iso有什麼關係? 12/22 17:28
146F:→ superpandal: 要無限上綱曝露一點什麼都是可以的 但更像是鬥爭 12/22 17:32
147F:→ superpandal: 而不是檢討 12/22 17:32
148F:→ Arbin: ISO 27K吧 27001/27002算基本 12/22 17:33
149F:→ Arbin: 27014跟金融業有關 12/22 17:33
150F:→ Arbin: 如果公司有認真做的話 照上面ISO標準驗是不會過沒錯 前提 12/22 17:34
151F:→ Arbin: 是要認真做... 12/22 17:34
152F:→ superpandal: 那就是管理規範而不是技術規範 12/22 17:36
153F:→ Firstshadow: 竟會問這與iso有什麼關係..在下有點失望了 超熊大大 12/22 17:36
154F:→ Arbin: 對是管理規範 但技術人員也要參考這些管理規範做事 所以有 12/22 17:38
155F:→ Arbin: 時候技術人員知道那可能沒什麼 但在管理方面還是要遵守 12/22 17:38
156F:→ superpandal: 我確實不懂管理 不用失望什麼 12/22 17:38
157F:→ Firstshadow: 沒事的 超級熊貓大 你的一些觀念在下還是敬佩的 12/22 17:39
158F:→ superpandal: 我只要確保技術上給我管理一台機器沒人可以攻破即可 12/22 17:41
159F:推 yoyo890121: 錯誤訊息不能直接印給前端是很基本的吧 12/22 18:08
160F:→ yoyo890121: 又不是在開發環境.. 不懂有啥好爭的 12/22 18:08
161F:→ superpandal: 全部都你自己來你可以只顯示通常錯誤 但現實環境很 12/22 18:12
162F:→ superpandal: 複雜的 過往相關銀行的行事風格在本版已經講很多 12/22 18:13
163F:→ superpandal: 什麼都要不到情況是很恐怖的 給我選我都選曝露 12/22 18:14
164F:推 kkes0001: 笑死居然會問和iso 有什麼關係 12/22 18:27
165F:→ superpandal: 原來問問都不行? 還要腥腥作態裝客氣樓上就接受? 12/22 19:07
166F:→ VL1003: 不是不行,只是你推文的態度感覺很熟這塊,但資安最基本的 12/22 19:23
167F:→ VL1003: 的 iso 27k 你卻又突然不熟悉了,有點神奇。 12/22 19:23
168F:→ Firstshadow: 人家超熊大大只是熟`技術規範`的 :( 12/22 19:25
169F:→ superpandal: 我沒說我懂iso管理規範繁文縟節 12/22 19:31
170F:→ superpandal: 我只是懂技術 我知道怎麼做的近乎滴水不漏而已 12/22 19:33
171F:→ superpandal: 文中連水滴都不算的就另當別論 12/22 19:34
172F:→ TonyQ: ISO 27001 雖說是公司資安常導入的控制點檢核/ISMS機制 12/23 08:02
173F:→ TonyQ: 但實務上 application 層/ 治理層的安全規範,本來就是不同 12/23 08:02
174F:→ TonyQ: 的專業內容...就跟會 iso 27001 的檢核規範,跟能打紅隊是 12/23 08:03
175F:→ TonyQ: 完全不一樣的事情一樣。 12/23 08:03
176F:推 answermangtr: 笑死 12/23 09:30
177F:→ yunf: 別傻了不可能滴水不漏 如果真的那麼強的話你早就在cia 12/23 11:45
179F:→ yunf: 世界上多得是你看都沒看過的漏洞 12/23 11:47
180F:→ Merkle: 先不講這些資料到底有沒有用 光後端往前端丟資料不檢查 前 12/23 11:49
181F:→ Merkle: 端也不檢查後端丟過來的資料內容直接show出來 稽核誰給過 12/23 11:49
187F:→ Firstshadow: 湯尼Q大大說的真好!在下只是剛好兩邊都略懂而已:Q 12/23 14:36
188F:→ darkMood: 沒啥,只要錢不會被偷轉走,都是小事啦。 12/23 16:40
189F:推 cmelo1515: 笑死 12/23 19:49
190F:→ superpandal: "近乎"滴水不漏 很難理解嗎? 首先應用如果都是自己 12/23 19:54
191F:→ superpandal: 寫的 防範下能出問題的就是底層設施 底層如果你又在 12/23 19:55
192F:→ superpandal: 套一些安全措施 如果有問題那差不多是系統層面有問題 12/23 19:56
193F:→ superpandal: 如果你不放在同個藍子裡那麼這個可能性又在被削弱 12/23 19:58
194F:→ superpandal: 能又再突破的那差不多是國家級在針對你 12/23 20:00
195F:→ superpandal: 基本上第一層能做好就差不多擋全部 我只相信我自己 12/23 20:02
196F:→ superpandal: 所以第一層肯定有好 外加知道哪些是很可能有問題 12/23 20:03
197F:→ superpandal: 的技術 避開即可免於很多麻煩 12/23 20:04
198F:→ superpandal: 哪些是垃圾技術都需要研究的 12/23 20:05
199F:→ superpandal: CVE搜一搜哪些老是在出問題的就可以排除很多了 12/23 20:10
200F:→ superpandal: 系統真的自帶很多垃圾 什麼systemd pkexec都是 12/23 20:21
201F:推 OyodoKai: 看來樓上很適合加入銀行IT 讚讚 12/23 20:34
202F:→ superpandal: 3以上只是成本最低的方法 12/23 20:35
203F:→ superpandal: 我不想加入也沒機會加入 12/23 20:37
204F:推 OyodoKai: 資安就是你行你上喇 哈哈哈 12/23 21:09
205F:→ yunf: cve給你考古用的 這是地板不是天花板 還沒有實戰之前嘴防部 12/23 22:53
206F:→ yunf: 都是所謂近乎滴水不漏 12/23 22:53
208F:→ viper9709: 聽起來滿猛的... 12/23 23:56
210F:→ yunf: 只有老人才知道的史料 12/24 00:11
212F:→ yunf: 能就是這種感覺 12/24 01:18
213F:→ superpandal: 所以我才說成本最低 然後拿政府代表所有人 12/24 21:14
214F:→ superpandal: 真的太好笑了 政府資安本來就是紙糊的 12/24 21:15
215F:→ superpandal: 當然你貼的可以說明有特權可以突破政府的措施 12/24 21:17
216F:→ superpandal: 特權用戶在電子系統層面都是致命的 12/24 21:20
217F:→ superpandal: win2003 haha 用這種東西就是把命交給別人 12/24 21:53
218F:→ yunf: 你可能還是不懂任何別人無法破解的東西不可能到你手上 12/24 23:26
219F:→ yunf: 水清則無魚亙古名言 12/24 23:27
220F:→ yunf: 破解不一定是找到編碼上的漏洞 12/24 23:27
223F:→ superpandal: 讓人無法破解是靠自己 若非如此就是授人以柄 12/25 13:13
224F:→ superpandal: 大佬也不會閒的沒事管你資安 12/25 13:17
225F:推 sachung28: 樹大招風才會惹議 小卡拉米沒人管 看來大樹用戶吸不少 12/25 22:05
226F:→ sachung28: 滿成功 12/25 22:05
227F:→ yunf: 「最近常傳飛機飛來飛去,其實都是假的,今天只要金融系統被 12/26 17:31
228F:→ yunf: 打趴,交易提款歸零,電話不通,錢匯不出來,匯不進去,成 12/26 17:32
229F:→ yunf: 本又低又簡單,馬上(台灣)就打趴了。」 12/26 17:32
230F:→ yunf: 日航證實遭到網攻 國內外航班恐受影響 12/26 17:36
231F:→ superpandal: 要趴ddos都可趴 這又不得不說這其實也是廠商的陰謀 12/29 01:08
233F:推 marra: 樓上的點餐機出現摩斯馬桶真的好笑!IT應該很慘!XD 01/02 02:57
234F:推 yesyesyesyes: 直接return ex, 笑了 01/02 17:06
238F:推 kingofsdtw: 可以挖到別人帳號密碼嗎? 01/25 19:10