作者te426odin (小胖老師)
看板Soft_Job
標題[討論] 旅遊公司個資外洩問題
時間Thu May 25 09:46:26 2017
最近新聞有兩間旅遊公司都爆出個資外洩的問題
1.雄X
https://goo.gl/N8ihs2
2.X樂
https://goo.gl/cPOALd
剛好本魯閒閒沒事去看了一下求職網
發現他們的程式設計都是徵.net體系的
本魯也是學.net體系出身的
我記得其實asp.net本身的安全防護設定其實算嚴謹
照理說應該會閃過很多不必要的安全性問題(例如Server.HtmlEncode)
請問這是開發習慣問題 (例如SQL Injection)
還是.net 本身設定的問題啊
又或者是防火牆端地設定問題
因為自己本身也是在開發web程式,看到這樣的新聞都會覺得有點怕怕的
不知道大家的想法是如何?
--
Ⅲ ▃▅◤◣道 ● ⊙⊙⊙ 佛 └=▆┘ ㄩ 儒 ψy
▊▎ ︵◢▇▅▄█ 見 ◤◥ @@@@ 見 ◢▆██◤ ▊▎ 見 z
▃◢◣▃ (▂▂▄ ▉█萬殺 ◤╳◥ ﹫—— ﹫ 三渡 ◥▉ ︶︶◤◢◣ ▄▄ 天覆 e
▌▌ ◣ γ▇▇
ζ█▊物生 ◣δ◢ ι▇
▄▇
ι 千生 ◢s ▆
▆z◥※◤▋▍ 下生 l
▌▌◢﹨◢
█▉█◣◥滅始 ▉ζ▏ ◣█▊▉◤ 破斬 ◤▉█▉◤∕ ▌▌ 殘歸 l
◣◤◥ ◤▇▇▇◥ 元 ◣◢ ◢▇▇◣▏ 罪 ◤▇▇▇◥ ◣◤ 一 y
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.249.147.128
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Soft_Job/M.1495676799.A.555.html
1F:推 bcawosxy: 新聞似乎是說拿到員工帳密進而進到資料庫, 所以跟 05/25 10:30
2F:→ bcawosxy: 員工的資安觀念似乎比較有關連 05/25 10:30
3F:推 crossdunk: 阿摘是不是內賊 05/25 10:58
4F:→ robler: 資安問題大部份都是人的問題比較嚴重 05/25 11:30
5F:→ thinkniht: 你問他們公司或攻擊的人啊...其他人也只能用猜的吧 05/25 11:46
6F:→ ChungLi5566: 資安要從制度面來管, 像ISO27001的規範 05/25 11:46
7F:→ ChungLi5566: 有規模的公司 上版會要求要有源碼檢測報告 05/25 11:47
8F:推 chuegou: 我是比較相信裡面的人拿去賣啦XD 05/25 12:13
9F:→ bndan: 人的問題..特定技術漏洞通常會被標記起來... 05/25 12:16
10F:推 ian90911: 直接進資料庫抓的話改帳號密碼好像也沒用了? 05/25 12:38
11F:→ pttworld: 如果是漏洞,新聞不會這麼小。因為微軟。 05/25 13:23
12F:推 skitty: 被植木馬 帳密管控不嚴 防火牆沒擋好 百百種 05/25 15:47
13F:→ bbser: 社交工程簡單多了。 05/25 17:09
14F:推 prag222: MYSQL官網都爆過 SQL injection了 拜託 05/25 21:07
15F:推 alog: 走標準、code review 05/25 23:00
16F:→ alog: 框架提供的是一套標準 但是你防不了工程師當下腦殘濫用 05/25 23:00
17F:→ alog: 製造了一個攻擊點可以盲注測出來 05/25 23:01
18F:→ alog: 外部再上一套軟體或是硬體式的設定好規則來做通報 至少可以 05/25 23:01
19F:→ alog: 短時間阻止不必要的操作 05/25 23:01
20F:→ alog: 還有限定某些路徑跟功能 重要的部份都得 限制地區跟電信線 05/25 23:03
21F:→ alog: 路 05/25 23:03
22F:推 alog: 以前做的系統是連在特定時段管理者都不能看會員資料、或存存 05/25 23:05
23F:→ alog: 取到一個次數時直接通報上層跟股東 05/25 23:05
24F:推 comesuck: 請怎樣的人開發,系統就會長怎樣 05/25 23:37