※ 本文為 terievv 轉寄自 ptt.cc 更新時間: 2016-03-11 07:16:34
看板 Soft_Job
作者 標題 [討論] 中國漏洞通報平臺烏雲
時間 Sun Mar 6 13:10:57 2016
或許是我太孤陋寡聞 昨天跟朋友閒聊才知道這地方
http://www.wooyun.org/
WooYun.org | 自由平等开放的漏洞报告平台
WooYun是一个位于厂商和安全研究者之间的漏洞报告平台,注重尊重,进步,与意义 ...
WooYun是一个位于厂商和安全研究者之间的漏洞报告平台,注重尊重,进步,与意义 ...
裡面看到很多台灣的網站有 SQL Injection 的問題
小弟想說這不是很常見的資安常識嗎!?
根據我工作的經驗 可以歸納出原因整理如下
1. Legacy System
2. 便宜行事 組 SQL 字串比較直覺 也沒有驗證資料
3. 對 Framework 不熟 誤用
4. 資安常識不足
不知道版上的各位強者大大們 怎麼看這件事情
謝謝
--
posted from bbs reader hybrid on my motorola Nexus 6
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.83.238.72
※ 文章代碼(AID): #1MsxlaTS (Soft_Job)
※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1457241060.A.75C.html
→ : 我覺得2最多XD1F 03/06 13:15
推 : PM: SQL 查詢改幾個字就好了吧, 下班前記得 commit2F 03/06 13:21
→ : 發案人沒要求阿 $_$3F 03/06 13:30
推 : 沒有漏洞掃描的檢核機制吧4F 03/06 13:55
→ : 大部份台商只會用低薪聘猴子,做出來的品質能好到哪5F 03/06 14:03
推 : 就趕著上線, 該做的安全測試都沒做6F 03/06 14:33
→ : 剛出校門的 幾個會去注意資安問題 程式能動能交差就好7F 03/06 14:35
→ : 除非自己組sql,不然很多framework都幫你做掉了吧8F 03/06 14:41
推 : 資安的概念應該和if then或for loop一起教9F 03/06 14:45
推 : 會發生的原因最主要應該是該單位主管沒有sense10F 03/06 15:21
→ : 然後公司條件差 只能找剛畢業的..這種問題就很容易發生
→ : 然後公司條件差 只能找剛畢業的..這種問題就很容易發生
→ : 公司沒買弱掃工具或是工具太舊掃不出來12F 03/06 18:59
※ 編輯: joetsai (36.235.195.76), 03/06/2016 19:57:16→ : 1,2,4都很多吧13F 03/06 22:05
→ : 個人看法比較負面.3和4才是主因...與其說是訓練的問題 不如14F 03/07 00:46
→ : 說這是業界不夠成熟就能賺錢的問題(賺錢門檻太低 = =|||)
→ : 應該說 "在技術上"的賺錢門檻遠不及其他項目...
→ : 說這是業界不夠成熟就能賺錢的問題(賺錢門檻太低 = =|||)
→ : 應該說 "在技術上"的賺錢門檻遠不及其他項目...
推 : 你覺得領22K 28K的需要搞資安嗎17F 03/07 03:03
→ : 應該說 你真的以為台灣公司有QA嗎...
→ : 應該說 你真的以為台灣公司有QA嗎...
→ : 時程與成本問題....顧客就是這麼快要19F 03/07 09:09
→ : 你沒交差就是違約
→ : 你沒交差就是違約
→ : 專案的目標就是驗收.壓榨久了,能動就是好code.21F 03/07 11:16
推 : 沒sense的老一輩主管還真不少,尤其接案公司速度功能導22F 03/07 18:34
→ : 向,沒把資安部分放驗收條件。
→ : 向,沒把資安部分放驗收條件。
--
※ 看板: terievv 文章推薦值: 0 目前人氣: 0 累積人氣: 126
回列表(←)
分享