看板 Soft_Job作者 joetsai (路人酒菜)標題 [討論] 中國漏洞通報平臺烏雲時間 Sun Mar 6 13:10:57 2016
或許是我太孤陋寡聞 昨天跟朋友閒聊才知道這地方
http://www.wooyun.org/
裡面看到很多台灣的網站有 SQL Injection 的問題
小弟想說這不是很常見的資安常識嗎!?
根據我工作的經驗 可以歸納出原因整理如下
1. Legacy System
2. 便宜行事 組 SQL 字串比較直覺 也沒有驗證資料
3. 對 Framework 不熟 誤用
4. 資安常識不足
不知道版上的各位強者大大們 怎麼看這件事情
謝謝
--
posted from bbs reader hybrid on my motorola Nexus 6
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.83.238.72
※ 文章代碼(AID): #1MsxlaTS (Soft_Job)
※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1457241060.A.75C.html
→ y3k: 我覺得2最多XD1F 03/06 13:15
推 SkyPlus: PM: SQL 查詢改幾個字就好了吧, 下班前記得 commit2F 03/06 13:21
→ testPtt: 發案人沒要求阿 $_$3F 03/06 13:30
推 now99: 沒有漏洞掃描的檢核機制吧4F 03/06 13:55
→ duckfly: 大部份台商只會用低薪聘猴子,做出來的品質能好到哪5F 03/06 14:03
推 bobju: 就趕著上線, 該做的安全測試都沒做6F 03/06 14:33
→ pooznn: 剛出校門的 幾個會去注意資安問題 程式能動能交差就好7F 03/06 14:35
→ abccbaandy: 除非自己組sql,不然很多framework都幫你做掉了吧8F 03/06 14:41
推 yyc1217: 資安的概念應該和if then或for loop一起教9F 03/06 14:45
推 jinmin88: 會發生的原因最主要應該是該單位主管沒有sense
然後公司條件差 只能找剛畢業的..這種問題就很容易發生10F 03/06 15:21
※ 編輯: joetsai (36.235.195.76), 03/06/2016 19:57:16
→ bndan: 個人看法比較負面.3和4才是主因...與其說是訓練的問題 不如說這是業界不夠成熟就能賺錢的問題(賺錢門檻太低 = =|||)應該說 "在技術上"的賺錢門檻遠不及其他項目...14F 03/07 00:46
推 blackwindy: 你覺得領22K 28K的需要搞資安嗎
應該說 你真的以為台灣公司有QA嗎...17F 03/07 03:03
→ atpx: 時程與成本問題....顧客就是這麼快要
你沒交差就是違約19F 03/07 09:09
→ MonyemLi: 專案的目標就是驗收.壓榨久了,能動就是好code.21F 03/07 11:16
推 Masakiad: 沒sense的老一輩主管還真不少,尤其接案公司速度功能導向,沒把資安部分放驗收條件。22F 03/07 18:34
--