看板 Gossiping作者 TonyQ (自立而後立人)標題 Re: [爆卦] 豬友會完爆柯B官網???時間 Sat Aug 23 06:42:45 2014
※ 引述《andy580707 (紅色禮物)》之銘言:
: 柯P官網也被駭惹
: 好多篇新聞都有這個連結
: http://ppt.cc/XfFC
: 看來柯P露得比較多呀
: https://www.youtube.com/watch?v=YSo7JbwbvIw
: 附上完整影片
: 板凳雞排買好了嗎??
順便來作點科普教育好了,
其實網站的弱點跟每個使用者來講是非常切身的。
多講一點是一點。
--------------------------
基本上這是所謂的弱點掃描 (vulnerability scanner),
也就是因為網路上有許多網站是用現成的 framework,
這些 framework 也是人寫的,用的人多自然就會有人鑽門研究他們的弱點。
--------------
以柯文哲來講是部份看起來是自己從頭做的,
也有一部分是用 wordpress (原始碼看得出來)。
(至於怎麼看,基本上你看原始碼,
有出現 wp-content 就是 wordpress 體系了。
看外觀不準,因為都可以大幅修改外觀,
像
http://kptaipei.tw 就是個例子。)
連勝文網站據說是 joomla 為主。
--------------
然後這些掃描程式就會針對這類 CMS 去進行內容掃描,
但有幾個問題,大多數的弱點掃描是所謂「看到黑影就開槍」。
所以文中才需要分 low 、medium、hight ,
三種不同風險(risk) 的 vulnerability (弱點),
這個東西主要要看 high risk 的,為什麼呢?
舉個例子影片中的 low risk ,大家仔細看可以看到這張圖。
http://imgur.com/x03MHNk
其中提到
* possible sensitivity files (可能的敏感檔案)
並以這個為例
http://kptaipei.tw/wp-content/themes/namo/readme.txt
其實這是所謂的 theme (樣板)介紹,一點也不敏感。
只是它透過掃(或猜測)所有公開在網路上的 url ,找到這個檔案而已。
在 wordpress 上使用樣板,
留下介紹以表達支持樣板或之類的也不是什麼罪大惡極的事情。XD
--------------
medium 裡面其實也看起來都是針對所謂「加密連線」的抱怨,
但沒有作金流、沒有作一般會員系統,要不要採用加密連線、我覺得還好。
柯文哲團隊很顯然很瞭解 SSL 是怎麼回事,
因為政治獻金網站就有強迫使用 SSL 。
https://donate.kptaipei.tw/
--------------
至於比較重要的 high-risk 裡面宣稱的 blind sql injection ,
rss2 跟 admin-ajax.php ,剛用資料庫基本的作法測了一下是沒發現問題。
考慮到有些 vulnerability scanner 會針對歷史 vulnerability 看到就開箱,
也傾向認為是誤判。
(這個檔案有個一樣的弱點 2008 年有被提出來過,
後來 wordpress 在後續版本有提出修正。 )
---------------
當然如同前面版友推文說得,就算退一萬步真的有 vulnerability ,
因為每個 vulnerability 需要的條件不一樣,
有沒有機會被打進去都是個問題。
如果有人有測到進一步的弱點也可以提出來討論,
或寫信給柯 p 讓柯p 改進。 open@kptaipei.tw
就連大網站如 facebook 也是常常被找到弱點,
還有所謂的弱點懸賞計畫。
資訊安全這個問題其實還是有賴全民資安意識的養成。
--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.166.151.99
※ 文章網址: http://www.ptt.cc/bbs/Gossiping/M.1408747367.A.71C.html
※ 編輯: TonyQ (118.166.151.99), 08/23/2014 06:43:48
※ 編輯: TonyQ (118.166.151.99), 08/23/2014 06:45:20
推 fkdds: 專業 推1F 08/23 06:46
簡言之弱點掃描是一種類似防毒軟體的存在,
而且是比防毒軟體還積極很多(寧可誤殺不可錯放萬一)的存在。
有些是資訊領域裡面有些事情是專業人比較算是苛求的領域,
有些則根本不是問題。
而且防毒軟體掃出來的毒檔不一定真的有毒,
就算真的有毒不要蠢到去執行也不一定會毒發,
這個比方應該好懂一點。
※ 編輯: TonyQ (118.166.151.99), 08/23/2014 06:50:35
推 palt: 不推人家會說我們不懂~~推3F 08/23 06:49
※ 編輯: TonyQ (118.166.151.99), 08/23/2014 06:52:42
推 rhox: 看不懂啦,講英文好嗎 (?)5F 08/23 06:52
It's just "possible" risks and most of them could
be considered a FALSE ALARM.
※ 編輯: TonyQ (118.166.151.99), 08/23/2014 06:54:07
→ preisner: 重點是連自己網站沒關閉debug mode,又沒做error handle然後就到處說對方駭他,真是不要臉的賤!6F 08/23 06:55
不過那些錯資訊圈的一些資歷不夠的人是真的蠻容易犯的,
我個人是會覺得這個議題過去了就好了。
反正這些錯也很容易被修正,
相信連勝文團隊這些事件後會多加強一點基礎知識跟資訊素養啊。
這是資訊安全的素養,但跟被 crack 還是有點距離、還是屬於兩碼子事。
我的定義是沒有被偷走資料(dump data) 、被打到 sql (sql injection)
或被取得 server 管理/操作權(root access 或 remote execution) ,
都還算不上 crack。
最最基本也該至少有個 XSS 再來宣稱是 crack。:Q
當然,站在一般使用者的角度上,
我是覺得不見得應該試著去找這些安全問題啦。
像我自己就是完全沒有想去踹連的興趣。
對了,上面講得,正常來說,
一般有認真從業網站開發的人、三四年經歷以上就該都知道了。
不是什麼很高深的東西。
推 mmrhahaha: 就有人測試柯P官網,找到疑似漏洞的地方就說駭客成功雖然毫無成果,但是這種碰上黑影就開槍不愧是6898F 08/23 07:02
※ 編輯: TonyQ (118.166.151.99), 08/23/2014 07:05:03
→ ererer …
噓 ererer: 柯P的網站我連點都懶10F 08/23 07:06
拒絕參與政治的結果就是被糟糕的人統治,共勉之。
※ 編輯: TonyQ (118.166.151.99), 08/23/2014 07:09:39
推 Riya520: 不要跟er認真, 專門反串11F 08/23 07:13
推 allnation: 高手..等等,這不是軟體版的版主..高中學歷定爆一堆人12F 08/23 07:22
推 allen501pc: 嗯嗯,真的不是很高深。但我超討厭這個漏洞檢測機制。13F 08/23 07:25
→ TonyQ: 哈,exploit scanner 有時候真的會找到很多 FALSE ALARM
然後蠢客戶就會一個個來找你修到 0 warning。=_=14F 08/23 07:27
推 allen501pc: 有時候找到的漏洞,真的不是網頁程式開發人員可以控16F 08/23 07:27
推 yukosakura: 專業給推 自己網站爛說別人駭 對待救命恩人也不是這樣17F 08/23 07:27
→ TonyQ: 反而讓程式寫得更複雜別人看不懂,只為一個不是問題的警告18F 08/23 07:27
→ TonyQ: 舉個例子,有套檢測軟體只要是吃參數 redirect 都會叫
怕 open redirect 問題,一定要照他的某個 pattern 才會過問題是那個 pattern 沒辦法處理所有情境。=_=22F 08/23 07:29
→ TonyQ: 跟跑程式碼品質鑑定軟體限制 function 只能寫七行一樣蠢。26F 08/23 07:30
推 max123: 看不懂啦 用日文解釋一下27F 08/23 07:34
残念ですね,私はできません。
推 Leeng: 還不都是外包的28F 08/23 07:38
我看不出來是不是外包欸,您這麼厲害看得出來,
教一下怎麼鑑定是外包還是聘用的?
順便分享一下就我所知,什麼是外包跟什麼是僱用。
一般來講外包的典型特色就是反應慢、開發時間久,
成品通常會比預期的還來得糟糕一點,
另外合約價格相比會比 in-house 貴不少,
所以才會有外包是花錢了事的說法,
但業界來講,除非是一次性或短期專案不然不會鼓勵外包,
另外就算是一次性專案跟短期專案,
外包也常常會因為溝通不良而容易作不出自己要的東西。
外包跟所謂 in-house 僱用的界線,
主要差異點在合約類型是 by 事或 by 人跟配合度。
(大多數外包都是包專案跟包專案維護,
很少在包人的、那通常會稱為派遣了,
僱用也有分正職無期限跟期約僱用。)
當然也有可能有很配合很積極的外包,但比例上是相對少很多的。
※ 編輯: TonyQ (118.166.151.99), 08/23/2014 07:45:14
※ 編輯: TonyQ (118.166.151.99), 08/23/2014 07:46:36
推 hirokofan: 網站應用程式弱點掃描也有可能誤判,我就碰過比較老式30F 08/23 07:49
推 aa1477888: 我認為都有心去做API了不會只有外包而已XD31F 08/23 07:49
→ hirokofan: 的隨機頁面被偵測成有SQL INJECTION漏洞32F 08/23 07:50
推 anper: 高手推,雖然完全看不懂33F 08/23 08:00
推 palt: 他們會用豬的邏輯攻擊你~~然後將你擊敗~~34F 08/23 08:04
※ 編輯: TonyQ (118.166.151.99), 08/23/2014 08:30:47
推 datro: 推!! 可以用德文講一下嗎? (被打)43F 08/23 08:49
ik zal niet
推 vi000246: 手機不能看原始碼 想問是哪裡用到wordpress46F 08/23 09:22
→ TonyQ: @vi000246 目前主要就 kptaipei.tw 是 wordpress49F 08/23 09:34
推 reaper8046: 我用那軟體分析神豬的 進度19/143 低風險已經7xx個了51F 08/23 09:38
推 CuteRoach: 回硬的認真 給推 不過可以用俄文講一下嗎?54F 08/23 10:00
Я не буду
推 shuntroy: 看不懂啦,不能用韓文說一下嗎??58F 08/23 13:27
??
你們是來整我的吧 T_T
※ 編輯: TonyQ (118.166.151.99), 08/23/2014 14:41:27
--