推 afterxxxxx: 我高中同學兄弟倆愛吃麥當勞常跑去偷吃 他爸有次生氣02/16 22:07
→ Merkle: 就射了02/16 22:08
→ afterxxxxx: 了說愛吃就讓你們吃個夠 然後連續兩個禮拜晚餐都吃麥02/16 22:09
→ Merkle: 克阿瑟為子祈禱文02/16 22:09
→ afterxxxxx: 我同學還是吃得很開心然後他爸先崩潰了02/16 22:10
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.34.90.106 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1734715337.A.213.html
推 OyodoKai: 這個都中台而已啦 不用怕 12/21 01:40
→ OyodoKai: 真正的核心老到連錯誤訊息都沒有的 12/21 01:41
推 neo5277: 複委託掛不知道是不是一樣的原因 12/21 01:47
推 OyodoKai: 某家銀行核心系統有CVE9.8的漏洞 執行長蓋章上線 不怕 12/21 01:49
推 devilkool: 又 又 又是國泰 12/21 02:05
→ yunf: 別人有心挖洞 全台灣應該會雞飛狗跳 12/21 02:21
→ yunf: 他們只是不挖而已 選在關鍵的時候才挖 12/21 02:21
→ yunf: 你看今天道瓊波動超過1100點 12/21 02:22
→ yunf: 然後那個說法又剛好過了 12/21 02:23
→ yunf: 如果你們還了解這些故事背後的故事你們就會覺得一切都很合理 12/21 02:23
→ yunf: 在罩 12/21 02:27
推 kmd: 重點是會吐這麼詳細的訊息,該不會跑 debug mode 吧 12/21 02:34
推 lchcoding: 駭客表示欣慰... 12/21 03:09
→ yunf: 更新的目的其實只是為了讓他掌握你系統漏洞是他可以用的 12/21 04:16
推 kevin8197: opt存db? 有沒有實作範例 12/21 07:12
推 glwl40039: 銀行真的笑爛 12/21 07:25
推 AxelGod: 銀行IT或乙方開發就屎中之屎 12/21 09:34
→ AxelGod: 能不去就不要去, 12/21 09:34
→ AxelGod: 風氣就是根本沒在想解決問題的 12/21 09:34
推 ptta: 一樓好好笑 12/21 09:41
→ v7q4: catch exception 直接印出來 12/21 10:36
推 Arbin: 靠腰XD 這種錯誤都是寫到Log內 怎麼往前端丟 12/21 10:42
→ Obama19: 還好吧 又沒有敏感資訊 你看到又能怎樣? 12/21 10:43
推 lturtsamuel: Oyodokai 笑死== 12/21 10:44
→ Arbin: 確實沒敏感資訊 不過現在大家都知道他們用MS SQL Server了 12/21 10:51
→ Arbin: (? 12/21 10:51
推 iq1000x: 銀行用MS SQL Server是秘密嗎? 12/21 11:23
→ Arbin: 不是 我在講幹話 12/21 11:25
推 B0988698088: 也許它篩選過了 storage這種就是沒資安問題的messag 12/21 11:27
→ B0988698088: e(? 12/21 11:27
推 mathrew: 笑死,完全沒有資安觀念,一點點都沒有,還秀訊息... 12/21 11:35
推 hooll111: 這種掃白箱算低風險吧 我猜他們報告中高太多 所以低的先 12/21 11:40
→ hooll111: 不改了 12/21 11:40
→ hooll111: 不過現在被網友抓包 大概傳到他主管那他還是得改XD 12/21 11:42
推 qk3380888: 超好笑 12/21 12:42
推 brandy: 我昨天想說...帳戶怎麼了咧 12/21 13:04
→ Merkle: 這用一個最簡單的string length or key word filter就可以 12/21 14:13
→ Merkle: 濾掉了 這都不做是多懶 12/21 14:13
推 OyodoKai: 做了對考績有幫助嗎? 12/21 14:21
→ OyodoKai: 萬一加上去系統壞掉怎麼辦? 我的考績很重要耶 12/21 14:21
→ OyodoKai: 等到出問題再修好它不就可以提升考績 12/21 14:22
推 DellSale999: Ex 本來就抓bug訊息用的 12/21 14:35
推 x20165: 複委託也是出包 12/21 14:35
推 CoNsTaR: 笑死,每次回臺灣在 reddit 查臺灣銀行 ATM 之類的資訊得 12/21 15:12
→ CoNsTaR: 到的評論都是 the most backwards banking system ever s 12/21 15:12
→ CoNsTaR: een on earth 12/21 15:12
→ Lordaeron: 這件事要講,說上面鬼話的人,根本沒待過歐美。 12/21 15:14
推 CoNsTaR: 我的 Wise 帳號到現在還是不能存臺幣,國泰今年四月甚至 12/21 16:17
→ CoNsTaR: 直接禁 Wise 12/21 16:17
→ CoNsTaR: 每次要幹嘛都要去便利商店 ATM,明明手機 app 30 秒就可 12/21 16:17
→ CoNsTaR: 以完成的事變成一定要出門 12/21 16:17
→ CoNsTaR: 而且回來第一個月就遇到兩次便利商店 ATM 系統壞掉/維修 12/21 16:17
→ CoNsTaR: 光這些我就完全不會想再用臺灣銀行了 12/21 16:17
→ DrTech: 台灣的任何銀行都要小心自己錢會不會變少。前陣子,發現台 12/21 17:46
→ DrTech: 銀亂扣我帳戶股款,重複扣錢。還要人主動發現,打電話才退 12/21 17:46
→ DrTech: 。還修了幾個小時,有夠弱。 12/21 17:46
→ DrTech: 台灣的銀行業,都是靠備份來保障資料安全的,出了事情就還 12/21 17:47
→ DrTech: 原,完全沒品質與信賴可言。 12/21 17:47
推 Apache: 台灣根本不適合住人== 12/21 18:14
→ AxelGod: 台灣不是不適合人住,是這邊被人搞到覺得不適合人住 12/21 18:34
推 IMBonjwa: 63 F滑坡太多了吧 12/21 18:42
→ IMBonjwa: 國泰的問題也扯這麼遠。雖說國泰不意外 12/21 18:42
推 toole: 沒有監控容量也太沒規範了吧 12/21 19:46
推 Ekmund: 看到錯誤訊息笑出來 XD 12/21 22:56
→ superpandal: 這不算什麼資安問題 就是服務暫時不可用 12/21 23:02
→ superpandal: 我也很喜歡這麼做 第一db就那幾種 也沒詳細到版本 12/21 23:03
→ superpandal: 第二曝露出來的訊息多半使用者已知 沒注入問題是還好 12/21 23:05
→ superpandal: 更嚴重的是server在回傳的時候跟客戶端說自己是用什 12/21 23:06
→ superpandal: 麼技術寫的 還不少框架和技術會這麼做 12/21 23:07
→ superpandal: 這種db錯誤多半也都是runtime error 方便除錯多半曝 12/21 23:11
→ superpandal: 露出來的少少資訊也就容易開發時就沒了 db 也不會傻 12/21 23:12
→ superpandal: 到曝露很隱私的資訊 12/21 23:12
→ superpandal: mssql倒是沒用過 應該不會這麼傻 12/21 23:13
→ alan3100: 別扯一堆 這訊息就是印到log client或web只顯示不可用 12/21 23:13
→ alan3100: 方便不是給你隨便的理由 這種就手機開發前後端沒切乾淨 12/21 23:15
→ superpandal: 然後呢? 資安問題? 首先我並與國泰沒有任何關係 12/21 23:19
→ superpandal: 實話實說就是這個問題不痛不癢 12/21 23:20
→ superpandal: 對於資安來講是這樣 當然只回傳錯誤是可以 12/21 23:22
→ superpandal: 但我不覺得這訊息可以上升到資安級別 12/21 23:22
→ superpandal: 有問題的資安問題太多了 而且一般人還不知道 12/21 23:23
→ superpandal: 該注重的點不注重 雞毛小事倒是拿放大鏡 12/21 23:30
→ superpandal: 資料庫都不是第一門戶的 第一門戶是server 12/21 23:34
→ superpandal: 說到曝露 瀏覽器本身還曝露了更多訊息 雖然我也是web 12/21 23:37
→ superpandal: 仔 但憑良心講web就不是什麼注重隱私的東西 12/21 23:37
→ superpandal: 先把瀏覽器的洞全部堵上再來討論資安的細節 首先clie 12/21 23:41
→ superpandal: client端不安全就是通殺了 雖然這樣資安人員應該會 12/21 23:42
→ superpandal: 失業 12/21 23:43
推 viper9709: 這錯誤訊息有點猛XD 12/22 00:13
→ yunf: 那就麻煩web仔寫一篇能堵住的來給菜雞們上一課吧! 12/22 05:44
→ yunf: 資安人員應該不會因爲這點失業要管的東西太多了又不是只有we 12/22 05:45
→ yunf: b 12/22 05:45
推 qqqlll666: 看起來還好啦 我覺得容量爆了比較誇張 啊不就還好今天 12/22 05:58
→ qqqlll666: 炸的是minor db 12/22 05:58
推 s56565566123: 線上debug 12/22 09:53
→ mazdathree: 確實不算什麼資安問題 就是給使用者看到這串看不懂的 12/22 11:36
→ mazdathree: 體驗不好而已 12/22 11:36
→ AxelGod: 怎可能不算資安問題? 12/22 11:49
→ AxelGod: Hacker能得到更多資訊,真要規劃攻擊, 12/22 11:49
→ AxelGod: 得到這些原始錯誤訊息只有好沒有壞吧? 12/22 11:49
→ umum29: 資安檢查這種絕對不會過 因為我就遇過 還被拉去上課 12/22 12:02
→ umum29: 樓上說的沒錯 讓駭客知道愈多愈危險 我公司之前就被駭過 12/22 12:03
→ umum29: 然後請palo alto network當顧問檢查 就被糾正過這個問題 12/22 12:04
→ umum29: 還有連web server的種類和版本都不該顯示給使用者知道 12/22 12:05
→ umum29: 我蠻驚訝居然蠻多人覺得這沒關係 12/22 12:09
→ alan3100: 懂得講一句就懂 不懂的理由一大堆 12/22 12:28
→ alan3100: 有些覺得腫臉充胖子比學新知識重要 反正不共事管他去死 12/22 12:33
推 mathrew: 驚訝很多人覺得不是資安問題+1 12/22 12:49
推 OyodoKai: 資安有比考績重要嗎? 12/22 13:46
推 abccbaandy: 這種公司資安不是第一嗎...平常一堆流程文件幹啥的? 12/22 13:50
→ abccbaandy: 金管會這時又裝死了? 12/22 13:50
推 OyodoKai: CVE9.8執行長都可以蓋章惹 不要這麼怕 Team 銀行 12/22 14:02
→ invidia: open source 12/22 15:58
→ superpandal: 堵住了當然有失業可能 因為現在web大行其道 web系統 12/22 16:58
→ superpandal: 是一狗票 真非web的東西門檻也高 12/22 16:59
→ superpandal: 那些說可以攻擊的倒是攻攻看 真要攻進去server本來就 12/22 17:01
→ superpandal: 有資安問題了 不用到db端 12/22 17:03
→ superpandal: alan是不是不懂我在講什麼 真的很好笑 很多自詡懂資 12/22 17:05
→ superpandal: 安的都還在概念上打轉 12/22 17:06
→ superpandal: 駭客知道訊息越多越好那是指關鍵訊息 說真的你server 12/22 17:08
→ superpandal: 都被攻破了後面是什麼db重要嗎 12/22 17:08
→ superpandal: db會提供自己在區網哪個host哪個port希望駭客找其它 12/22 17:10
→ superpandal: 洞進入針對它嗎 haha 12/22 17:11
→ Firstshadow: 好! 大家不要吵架 :O 12/22 17:13
→ superpandal: 說真的不懂機制不懂運作說懂資安都是假的 還共事... 12/22 17:18
→ superpandal: 改天有時間寫個server請alan或他的親朋好友攻攻看好 12/22 17:20
→ Arbin: 歐買尬爹斯 這也可以吵成這樣 12/22 17:20
→ Firstshadow: 確實捏 但某些單位的評估會認為那些也有風險捏 12/22 17:20
→ superpandal: 了 一樣曝露db錯誤訊息 12/22 17:20
→ Firstshadow: 有些事不是工程師們說ok 上面就說ok :O 12/22 17:21
→ Firstshadow: 好希望超級熊貓大大可以去制定iso標準... 12/22 17:22
→ superpandal: 有些資安人員自己都不懂rd和運維技術跟著喊 12/22 17:24
→ Arbin: 其實講那麼多 銀行端還不用以資安名義來說 用營運資訊外洩 12/22 17:27
→ Arbin: (資料表名稱)就有得把相關承辦人員叫去唸了... 12/22 17:27
→ Arbin: 雖然這廣義上來說也是資安問題就是 哈 12/22 17:28
→ superpandal: 這與iso有什麼關係? 12/22 17:28
→ superpandal: 要無限上綱曝露一點什麼都是可以的 但更像是鬥爭 12/22 17:32
→ superpandal: 而不是檢討 12/22 17:32
→ Arbin: ISO 27K吧 27001/27002算基本 12/22 17:33
→ Arbin: 27014跟金融業有關 12/22 17:33
→ Arbin: 如果公司有認真做的話 照上面ISO標準驗是不會過沒錯 前提 12/22 17:34
→ Arbin: 是要認真做... 12/22 17:34
→ superpandal: 那就是管理規範而不是技術規範 12/22 17:36
→ Firstshadow: 竟會問這與iso有什麼關係..在下有點失望了 超熊大大 12/22 17:36
→ Arbin: 對是管理規範 但技術人員也要參考這些管理規範做事 所以有 12/22 17:38
→ Arbin: 時候技術人員知道那可能沒什麼 但在管理方面還是要遵守 12/22 17:38
→ superpandal: 我確實不懂管理 不用失望什麼 12/22 17:38
→ Firstshadow: 沒事的 超級熊貓大 你的一些觀念在下還是敬佩的 12/22 17:39
→ superpandal: 我只要確保技術上給我管理一台機器沒人可以攻破即可 12/22 17:41
推 yoyo890121: 錯誤訊息不能直接印給前端是很基本的吧 12/22 18:08
→ yoyo890121: 又不是在開發環境.. 不懂有啥好爭的 12/22 18:08
→ superpandal: 全部都你自己來你可以只顯示通常錯誤 但現實環境很 12/22 18:12
→ superpandal: 複雜的 過往相關銀行的行事風格在本版已經講很多 12/22 18:13
→ superpandal: 什麼都要不到情況是很恐怖的 給我選我都選曝露 12/22 18:14
推 kkes0001: 笑死居然會問和iso 有什麼關係 12/22 18:27
→ superpandal: 原來問問都不行? 還要腥腥作態裝客氣樓上就接受? 12/22 19:07
→ VL1003: 不是不行,只是你推文的態度感覺很熟這塊,但資安最基本的 12/22 19:23
→ VL1003: 的 iso 27k 你卻又突然不熟悉了,有點神奇。 12/22 19:23
→ Firstshadow: 人家超熊大大只是熟`技術規範`的 :( 12/22 19:25
→ superpandal: 我沒說我懂iso管理規範繁文縟節 12/22 19:31
→ superpandal: 我只是懂技術 我知道怎麼做的近乎滴水不漏而已 12/22 19:33
→ superpandal: 文中連水滴都不算的就另當別論 12/22 19:34
→ TonyQ: ISO 27001 雖說是公司資安常導入的控制點檢核/ISMS機制 12/23 08:02
→ TonyQ: 但實務上 application 層/ 治理層的安全規範,本來就是不同 12/23 08:02
→ TonyQ: 的專業內容...就跟會 iso 27001 的檢核規範,跟能打紅隊是 12/23 08:03
→ TonyQ: 完全不一樣的事情一樣。 12/23 08:03
推 answermangtr: 笑死 12/23 09:30
→ yunf: 別傻了不可能滴水不漏 如果真的那麼強的話你早就在cia 12/23 11:45
→ yunf: 世界上多得是你看都沒看過的漏洞 12/23 11:47
→ Merkle: 先不講這些資料到底有沒有用 光後端往前端丟資料不檢查 前 12/23 11:49
→ Merkle: 端也不檢查後端丟過來的資料內容直接show出來 稽核誰給過 12/23 11:49
→ Firstshadow: 湯尼Q大大說的真好!在下只是剛好兩邊都略懂而已:Q 12/23 14:36
→ darkMood: 沒啥,只要錢不會被偷轉走,都是小事啦。 12/23 16:40
推 cmelo1515: 笑死 12/23 19:49
→ superpandal: "近乎"滴水不漏 很難理解嗎? 首先應用如果都是自己 12/23 19:54
→ superpandal: 寫的 防範下能出問題的就是底層設施 底層如果你又在 12/23 19:55
→ superpandal: 套一些安全措施 如果有問題那差不多是系統層面有問題 12/23 19:56
→ superpandal: 如果你不放在同個藍子裡那麼這個可能性又在被削弱 12/23 19:58
→ superpandal: 能又再突破的那差不多是國家級在針對你 12/23 20:00
→ superpandal: 基本上第一層能做好就差不多擋全部 我只相信我自己 12/23 20:02
→ superpandal: 所以第一層肯定有好 外加知道哪些是很可能有問題 12/23 20:03
→ superpandal: 的技術 避開即可免於很多麻煩 12/23 20:04
→ superpandal: 哪些是垃圾技術都需要研究的 12/23 20:05
→ superpandal: CVE搜一搜哪些老是在出問題的就可以排除很多了 12/23 20:10
→ superpandal: 系統真的自帶很多垃圾 什麼systemd pkexec都是 12/23 20:21
推 OyodoKai: 看來樓上很適合加入銀行IT 讚讚 12/23 20:34
→ superpandal: 3以上只是成本最低的方法 12/23 20:35
→ superpandal: 我不想加入也沒機會加入 12/23 20:37
推 OyodoKai: 資安就是你行你上喇 哈哈哈 12/23 21:09
→ yunf: cve給你考古用的 這是地板不是天花板 還沒有實戰之前嘴防部 12/23 22:53
→ yunf: 都是所謂近乎滴水不漏 12/23 22:53
→ viper9709: 聽起來滿猛的... 12/23 23:56
→ yunf: 只有老人才知道的史料 12/24 00:11
→ yunf: 能就是這種感覺 12/24 01:18
→ superpandal: 所以我才說成本最低 然後拿政府代表所有人 12/24 21:14
→ superpandal: 真的太好笑了 政府資安本來就是紙糊的 12/24 21:15
→ superpandal: 當然你貼的可以說明有特權可以突破政府的措施 12/24 21:17
→ superpandal: 特權用戶在電子系統層面都是致命的 12/24 21:20
→ superpandal: win2003 haha 用這種東西就是把命交給別人 12/24 21:53
→ yunf: 你可能還是不懂任何別人無法破解的東西不可能到你手上 12/24 23:26
→ yunf: 水清則無魚亙古名言 12/24 23:27
→ yunf: 破解不一定是找到編碼上的漏洞 12/24 23:27
→ superpandal: 讓人無法破解是靠自己 若非如此就是授人以柄 12/25 13:13
→ superpandal: 大佬也不會閒的沒事管你資安 12/25 13:17
推 sachung28: 樹大招風才會惹議 小卡拉米沒人管 看來大樹用戶吸不少 12/25 22:05
→ sachung28: 滿成功 12/25 22:05
→ yunf: 「最近常傳飛機飛來飛去,其實都是假的,今天只要金融系統被 12/26 17:31
→ yunf: 打趴,交易提款歸零,電話不通,錢匯不出來,匯不進去,成 12/26 17:32
→ yunf: 本又低又簡單,馬上(台灣)就打趴了。」 12/26 17:32
→ yunf: 日航證實遭到網攻 國內外航班恐受影響 12/26 17:36
→ superpandal: 要趴ddos都可趴 這又不得不說這其實也是廠商的陰謀 12/29 01:08
推 marra: 樓上的點餐機出現摩斯馬桶真的好笑!IT應該很慘!XD 01/02 02:57
推 yesyesyesyes: 直接return ex, 笑了 01/02 17:06
推 kingofsdtw: 可以挖到別人帳號密碼嗎? 01/25 19:10
