看板 Soft_Job作者 JokerCatz (JokerCatz)標題 Re: [討論] 維護者、道德與安全時間 Wed Feb 20 14:53:39 2013
我這邊另外開新文補述,事件後我總共面試了兩次
一次中山分局,一次台北市刑大資訊室
心得感想是台灣的警察不知道什麼是XSS,而只有檢察官知道
台灣的警察不會用Mac(我的筆電被沒收...檢察官沒說要扣但警察單純的要業績...
而警察那邊來開機登入找文件都不會...)
台灣的警察不會用Linux查Log(......看我打指令好像很神奇?)
台灣的警察對這種案件沒有辦法:
大概就是第二次面試後三天,北刑大請我去看一個案子,大概是某個交易平台
被人XSS偷光所有東西,偷到大陸後再對台灣進行詐騙之類的
js來源是(xss.tw),code的內容大概是完整的fake page & fake flow
然而被偷的人對該廠商進行了訴訟
偷到的人應該是在對岸,台灣的警察束手無策
自己看到了瞭解了之後很震驚...畢竟是相同的方式所完成的真實的犯罪手法
如果xss.tw和xssav.com都可以變成這類*低等級攻擊手法的交流地的話
有能力的人看到這些,與未來可能會發生的事情時,站方真的毫無作為時
所選擇的只能是隱忍嗎?
不管如何,誠如很多人所說,我真的只是nobody
我知道我的手法可能不漂亮或是有疑慮怎樣的,也得到我應有的後果
只是對於那些想對我說"關你屁事,吃飽太閒"的人說聲
哪天真的出事了,真的是你想要的嗎?
*註:不用任何工具就能達到目的攻擊手法,任何一台電腦都可以進行攻擊
--
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 114.35.31.145
→ TonyQ:"被偷的人對該廠商進行訴訟" 該廠商為此付出代價
聽起來很合理啊。
該廠商該承擔他該承擔的,這點有什麼不對嗎?
另外 fake page 跟 fake flow 的那些環節算不算工具,就見人見智了。
我不覺得你是吃飽太閒,但是你用的方式錯了。1F 02/20 14:59
→ cc1plus:山上和山下的單位對你應該有興趣, 去偵酒對報名一下...7F 02/20 15:03
→ yauhh:事情不是你這樣二分法就好了,是你的處理方式有問題.8F 02/20 15:12
推 descent:那還有什麼好方法呢?我不覺得這是好方法, 但想不到其他難道要真的等著出包, 該網站才真的意識到這問題的嚴重9F 02/20 15:14
→ hechian:我是不是該洗腦你再買一次Mac :P11F 02/20 15:17
→ j129008:廠商不見得會付出代價,會付出代價的是無知的使用者
所以廠商才有辦法視而不見,出包了就怪別人駭入就好12F 02/20 15:21
→ TonyQ:你用"不見得",所以我就持保留態度。
不過"出包怪別人駭入" 是個錯嗎? :)14F 02/20 15:22
→ j129008:黑客大可以單純偷取個資而不被發現,廠商損失啥?
所以我說受害的不會是廠商,而是使用者
廠商照理說擔負責任,但看樣子是嗎? 使用者的安全何在?16F 02/20 15:23
→ TonyQ:你的前提是駭客的行為不會被發現,but so ?
現實不總是這樣的啊。
當然我沒辦法反駁你沒有這種事情發生。
不過我覺得比起他採用的作法,更好的作法是預告加揭露漏洞。19F 02/20 15:41
推 RJking:"被偷的人對該廠商進行訴訟" 進行訴訟並不代表廠商會敗訴23F 02/20 15:41
→ TonyQ:要讓一個網站真的陷入危險,並不需要真的去攻擊。
更正一下,是 cracker。24F 02/20 15:42
→ RJking:既然不見得會敗訴,那就不見得會付出代價,而付出的代價也26F 02/20 15:42
→ TonyQ:而且他今天這樣的行為,如果反而導致使用者的密碼暴露,對使用者真的是好事嗎?
我純粹就對他用的方法有意見,並不是說廠商沒責任。
也不是說這個作法是對的。27F 02/20 15:42
→ RJking:無法真正讓使用者獲得補償,應該說被外洩的個資已經回不去31F 02/20 15:43
→ TonyQ:我們現在都在討論假設性問題,如果你要討論假設性問題,就把前提寫清楚。32F 02/20 15:44
→ JokerCatz:沒有暴露密碼的問題,整串都規劃過了,需要的話可提供JS34F 02/20 15:44
→ RJking:了...我只是想表示廠商並不會真的會負擔責任,而且也無濟於事...35F 02/20 15:44
→ TonyQ:我指的是,假設有人同時跟他一起瀏覽同一個螢幕,結果不小心看到那個密碼,這個 possiblity 你敢說沒有?
那個投影片留存的 cache 被其他人翻出來看到的可能性?
我的意思是,你仍然是增加風險。
你可能覺得你已經考慮很多了,但真的夠嗎?37F 02/20 15:45
→ TonyQ:根據我看到的畫面 你是直接把密碼寫在畫面上 XD
翻了一下似乎有作 * 遮蔽
不過我還是不認為做這件事有什麼意義。43F 02/20 15:48
→ j129008:意義在於讓大家知道這個網站不安全,快陶阿46F 02/20 15:56
→ JokerCatz:意義是表示我能偷到但我不想要,而別人也能輕易偷到47F 02/20 16:03
推 soulbug:經過這事件相信原PO有心冷了一點 建議不要試圖改變什麼心中有太多公平正義有時只是自討苦吃49F 02/20 16:30
推 codemonkey:這也不算公平正義吧,發起user連署比較正義一點51F 02/20 16:34
→ soulbug:先行革命者下場大多都是不好的...52F 02/20 16:35
推 codemonkey:要搞也應該去搞政府網站,搞不好會多個JokerCatz條款規定以後外包網站都要通過xss檢查
革命成功又有成就感多好53F 02/20 16:39
推 art1:苦來自不認同把問題搞大得到應有重視的人56F 02/20 16:42
→ JokerCatz:所以沒看投影片內容,主要是讓全體使用者一人一信給站方57F 02/20 16:42
→ soulbug:我這樣說好了 實行正義總要付出代價 因為會侵害到別人利益像原po付出的代價 就是喝茶聊天 並列入公開的駭客名單中58F 02/20 16:46
推 newnovice:吃飽太閒 對方不接受你的建議你就攻?60F 02/20 16:50
→ soulbug:並得到像樓上的不諒解 我能理解原PO是為了使用者啦...
預防總是優於治療 但有部分人是沒辦法看這麼遠的61F 02/20 16:52
→ erspicu:為好玩跟成就感 為他人 算了吧63F 02/20 17:00
→ soulbug:非要學到教訓不可 不說了 運動去 原PO若能理解我說的話
對人生應該有幫助吧..64F 02/20 17:02
推 davidsky:警察會用linux查log才神奇吧...除非是電偵專長(?)66F 02/20 17:07
→ EJB:是不是吃飽太閒,那才是見仁見智67F 02/20 17:12
→ luciferii:也可以學熱血的 plainpass.com
要自討苦吃只能說活該...69F 02/20 17:26
→ yyc1217:覺得手槍危險可以警告所有人,不是朝無人處扣下扳機後再來71F 02/20 17:29
→ yyc1217:說:看,這很危險吧,最後還堅持自己沒有射到人不算什麼73F 02/20 17:30
推 calqlus:這串文下來了你也看得夠清楚了 在這世界上只要對自己好
其他什麼的管他去死 你看那失業負責弄禽流感報告的記者
政府無視 即便在網路上發燒過 曾經被報導過 現在呢
雞肉類的食品還是便宜的詭異 大家還是照吃
在這世界上還是裝的傻傻地比較好 都是they的錯~74F 02/20 17:39
推 shortoneal:我覺得你寫一篇洋洋灑灑的文章公開某論壇有愚蠢的錯誤就夠了,自己去打真的是落人話柄80F 02/20 18:23
推 dnzteeqrq:j129008:廠商不見得會付出代價付出代價的是無知的使用者若JokerCatz是為使用者出聲,那蠻同意 只是要付出代價@@比那些滿口仁義道德 卻又眼睜睜看事情發生的人好太多了82F 02/20 20:16
推 CRPKT:那我也可以說, 放著不管讓更多使用者付出代價, 大家才會覺醒去整頓千千萬萬個不安全的網站?85F 02/20 21:38
→ alog:這些行為以前我就幹過,但你只能做到回報,不該去破壞
以前也寫過 xss worm 作為 demo 給廠商 但還是不能去破壞
或許你覺得你做的事情是為大家好的 但這需要手段
你做的那些行為只會冒犯到別人 不管是廠商還是使用者
不過,如果你覺得對,那你就去做吧 真的沒什麼
這個社會可怕的地方在於你要突出,自然有人會把你磨鈍 :P..88F 02/20 23:41
→ wfgh:不懂裝懂喔 資訊室就是mis單位而已 你該去偵九隊走一下
自以為技術強的心態 唉94F 02/21 00:02
→ dnzteeqrq:一般人哪知道資訊室就是mis單位 你有病哦!@@96F 02/21 00:13
→ alpe:真的是自以為熱血小朋友.97F 02/21 00:42
→ andymai:對於警察有沒有能力辦這種案子~應該要看該名警察的職位~如果是一般警察或刑警~每天處理轄區事情的時間都沒有了~哪有時間去學這些?隔行如隔山~你會的他們或許不會~但他們會的同樣你也可能不會~不是嗎?98F 02/21 04:02
推 kindaichitom:資訊相關科系的學生都不見得每個人都會操作了...
你只是遇到沒在辦資訊犯罪的警察而已...102F 02/21 21:00
推 astt88:現在有些政府專案會要求通過網站弱點掃描
不過,我覺得都是掃心安的
網站要較安全,除了開發者的認知與技術外,還必須考量到專案開發的外包方式,若是一層包一層的專案外包方法
真正做開發的團隊可能拿到的開發預算可能非常少
只能說,身為開發者,要考量的因素太多
只能說,看到一些專案的問題,並希望自己不要犯相同的錯誤我相信沒有程式開發者希望程式有Bug與漏洞
但有誰可以自認為自己開發的程式完全沒有漏洞與Bug104F 02/23 14:34
※ Last modified: 02/23/2013 14:44:48
--
※ 同主題文章:
Re: [討論] 維護者、道德與安全
02-20 14:53 JokerCatz.
… ×7