[討論] 國泰出這包不太行吧

OyodoKai12/21 01:40這個都中台而已啦 不用怕

OyodoKai12/21 01:41真正的核心老到連錯誤訊息都沒有的

neo527712/21 01:47複委託掛不知道是不是一樣的原因

OyodoKai12/21 01:49某家銀行核心系統有CVE9.8的漏洞 執行長蓋章上線 不怕

devilkool12/21 02:05又 又 又是國泰

yunf12/21 02:20https://tinyurl.com/29cwkhc6 win3.1用過沒？

yunf12/21 02:21別人有心挖洞 全台灣應該會雞飛狗跳

yunf12/21 02:21他們只是不挖而已 選在關鍵的時候才挖

yunf12/21 02:22你看今天道瓊波動超過1100點

yunf12/21 02:23然後那個說法又剛好過了

yunf12/21 02:23如果你們還了解這些故事背後的故事你們就會覺得一切都很合理

yunf12/21 02:25https://tinyurl.com/26vgrym5

yunf12/21 02:27https://tinyurl.com/276pt7nb 不要看不起他要看看他後面誰

yunf12/21 02:27在罩

kmd12/21 02:34重點是會吐這麼詳細的訊息，該不會跑 debug mode 吧

yunf12/21 02:51https://tinyurl.com/2cyngmnb 越南？

lchcoding12/21 03:09駭客表示欣慰...

yunf12/21 04:16更新的目的其實只是為了讓他掌握你系統漏洞是他可以用的

kevin819712/21 07:12opt存db? 有沒有實作範例

glwl4003912/21 07:25銀行真的笑爛

AxelGod12/21 09:34銀行IT或乙方開發就屎中之屎

AxelGod12/21 09:34能不去就不要去，

AxelGod12/21 09:34風氣就是根本沒在想解決問題的

ptta12/21 09:41一樓好好笑

v7q412/21 10:36catch exception 直接印出來

Arbin12/21 10:42靠腰XD 這種錯誤都是寫到Log內 怎麼往前端丟

Obama1912/21 10:43還好吧 又沒有敏感資訊 你看到又能怎樣？

lturtsamuel12/21 10:44Oyodokai 笑死==

Arbin12/21 10:51確實沒敏感資訊 不過現在大家都知道他們用MS SQL Server了

Arbin12/21 10:51(?

iq1000x12/21 11:23銀行用MS SQL Server是秘密嗎？

Arbin12/21 11:25不是 我在講幹話

B098869808812/21 11:27也許它篩選過了 storage這種就是沒資安問題的messag

B098869808812/21 11:27e(?

mathrew12/21 11:35笑死，完全沒有資安觀念，一點點都沒有，還秀訊息...

hooll11112/21 11:40這種掃白箱算低風險吧 我猜他們報告中高太多 所以低的先

hooll11112/21 11:40不改了

hooll11112/21 11:42不過現在被網友抓包 大概傳到他主管那他還是得改XD

qk338088812/21 12:42超好笑

brandy12/21 13:04我昨天想說...帳戶怎麼了咧

Merkle12/21 14:13這用一個最簡單的string length or key word filter就可以

Merkle12/21 14:13濾掉了 這都不做是多懶

OyodoKai12/21 14:21做了對考績有幫助嗎？

OyodoKai12/21 14:21萬一加上去系統壞掉怎麼辦？ 我的考績很重要耶

OyodoKai12/21 14:22等到出問題再修好它不就可以提升考績

DellSale99912/21 14:35Ex 本來就抓bug訊息用的

x2016512/21 14:35複委託也是出包

CoNsTaR12/21 15:12笑死，每次回臺灣在 reddit 查臺灣銀行 ATM 之類的資訊得

CoNsTaR12/21 15:12到的評論都是 the most backwards banking system ever s

CoNsTaR12/21 15:12een on earth

Lordaeron12/21 15:14這件事要講，說上面鬼話的人，根本沒待過歐美。

CoNsTaR12/21 16:17我的 Wise 帳號到現在還是不能存臺幣，國泰今年四月甚至

CoNsTaR12/21 16:17直接禁 Wise

CoNsTaR12/21 16:17每次要幹嘛都要去便利商店 ATM，明明手機 app 30 秒就可

CoNsTaR12/21 16:17以完成的事變成一定要出門

CoNsTaR12/21 16:17而且回來第一個月就遇到兩次便利商店 ATM 系統壞掉/維修

CoNsTaR12/21 16:17光這些我就完全不會想再用臺灣銀行了

DrTech12/21 17:46台灣的任何銀行都要小心自己錢會不會變少。前陣子，發現台

DrTech12/21 17:46銀亂扣我帳戶股款，重複扣錢。還要人主動發現，打電話才退

DrTech12/21 17:46。還修了幾個小時，有夠弱。

DrTech12/21 17:47台灣的銀行業，都是靠備份來保障資料安全的，出了事情就還

DrTech12/21 17:47原，完全沒品質與信賴可言。

Apache12/21 18:14台灣根本不適合住人==

AxelGod12/21 18:34台灣不是不適合人住，是這邊被人搞到覺得不適合人住

IMBonjwa12/21 18:4263 F滑坡太多了吧

IMBonjwa12/21 18:42國泰的問題也扯這麼遠。雖說國泰不意外

toole12/21 19:46沒有監控容量也太沒規範了吧

Ekmund12/21 22:56看到錯誤訊息笑出來 XD

superpandal12/21 23:02這不算什麼資安問題 就是服務暫時不可用

superpandal12/21 23:03我也很喜歡這麼做 第一db就那幾種 也沒詳細到版本

superpandal12/21 23:05第二曝露出來的訊息多半使用者已知 沒注入問題是還好

superpandal12/21 23:06更嚴重的是server在回傳的時候跟客戶端說自己是用什

superpandal12/21 23:07麼技術寫的 還不少框架和技術會這麼做

superpandal12/21 23:11這種db錯誤多半也都是runtime error 方便除錯多半曝

superpandal12/21 23:12露出來的少少資訊也就容易開發時就沒了 db 也不會傻

superpandal12/21 23:12到曝露很隱私的資訊

superpandal12/21 23:13mssql倒是沒用過 應該不會這麼傻

alan310012/21 23:13別扯一堆 這訊息就是印到log client或web只顯示不可用

alan310012/21 23:15方便不是給你隨便的理由 這種就手機開發前後端沒切乾淨

superpandal12/21 23:19然後呢？ 資安問題？ 首先我並與國泰沒有任何關係

superpandal12/21 23:20實話實說就是這個問題不痛不癢

superpandal12/21 23:22對於資安來講是這樣 當然只回傳錯誤是可以

superpandal12/21 23:22但我不覺得這訊息可以上升到資安級別

superpandal12/21 23:23有問題的資安問題太多了 而且一般人還不知道

superpandal12/21 23:30該注重的點不注重 雞毛小事倒是拿放大鏡

superpandal12/21 23:34資料庫都不是第一門戶的 第一門戶是server

superpandal12/21 23:37說到曝露 瀏覽器本身還曝露了更多訊息 雖然我也是web

superpandal12/21 23:37仔 但憑良心講web就不是什麼注重隱私的東西

superpandal12/21 23:41先把瀏覽器的洞全部堵上再來討論資安的細節 首先clie

superpandal12/21 23:42client端不安全就是通殺了 雖然這樣資安人員應該會

superpandal12/21 23:43失業

viper970912/22 00:13這錯誤訊息有點猛XD

yunf12/22 05:44那就麻煩web仔寫一篇能堵住的來給菜雞們上一課吧！

yunf12/22 05:45資安人員應該不會因爲這點失業要管的東西太多了又不是只有we

yunf12/22 05:45b

qqqlll66612/22 05:58看起來還好啦 我覺得容量爆了比較誇張 啊不就還好今天

qqqlll66612/22 05:58炸的是minor db

s5656556612312/22 09:53線上debug

mazdathree12/22 11:36確實不算什麼資安問題 就是給使用者看到這串看不懂的

mazdathree12/22 11:36體驗不好而已

AxelGod12/22 11:49怎可能不算資安問題？

AxelGod12/22 11:49Hacker能得到更多資訊，真要規劃攻擊，

AxelGod12/22 11:49得到這些原始錯誤訊息只有好沒有壞吧？

umum2912/22 12:02資安檢查這種絕對不會過 因為我就遇過 還被拉去上課

umum2912/22 12:03樓上說的沒錯 讓駭客知道愈多愈危險 我公司之前就被駭過

umum2912/22 12:04然後請palo alto network當顧問檢查 就被糾正過這個問題

umum2912/22 12:05還有連web server的種類和版本都不該顯示給使用者知道

OyodoKai12/22 12:07https://i.imgur.com/0v6WFKi.png

umum2912/22 12:09我蠻驚訝居然蠻多人覺得這沒關係

alan310012/22 12:28懂得講一句就懂 不懂的理由一大堆

alan310012/22 12:33有些覺得腫臉充胖子比學新知識重要 反正不共事管他去死

mathrew12/22 12:49驚訝很多人覺得不是資安問題+1

OyodoKai12/22 13:46資安有比考績重要嗎？

abccbaandy12/22 13:50這種公司資安不是第一嗎...平常一堆流程文件幹啥的？

abccbaandy12/22 13:50金管會這時又裝死了？

OyodoKai12/22 14:02CVE9.8執行長都可以蓋章惹 不要這麼怕 Team 銀行

invidia12/22 15:58open source

superpandal12/22 16:58堵住了當然有失業可能 因為現在web大行其道 web系統

superpandal12/22 16:59是一狗票 真非web的東西門檻也高

superpandal12/22 17:01那些說可以攻擊的倒是攻攻看 真要攻進去server本來就

superpandal12/22 17:03有資安問題了 不用到db端

superpandal12/22 17:05alan是不是不懂我在講什麼 真的很好笑 很多自詡懂資

superpandal12/22 17:06安的都還在概念上打轉

superpandal12/22 17:08駭客知道訊息越多越好那是指關鍵訊息 說真的你server

superpandal12/22 17:08都被攻破了後面是什麼db重要嗎

superpandal12/22 17:10db會提供自己在區網哪個host哪個port希望駭客找其它

superpandal12/22 17:11洞進入針對它嗎 haha

Firstshadow12/22 17:13好！ 大家不要吵架 :O

superpandal12/22 17:18說真的不懂機制不懂運作說懂資安都是假的 還共事...

superpandal12/22 17:20改天有時間寫個server請alan或他的親朋好友攻攻看好

Arbin12/22 17:20歐買尬爹斯 這也可以吵成這樣

Firstshadow12/22 17:20確實捏 但某些單位的評估會認為那些也有風險捏

superpandal12/22 17:20了 一樣曝露db錯誤訊息

Firstshadow12/22 17:21有些事不是工程師們說ok 上面就說ok :O

Firstshadow12/22 17:22好希望超級熊貓大大可以去制定iso標準...

superpandal12/22 17:24有些資安人員自己都不懂rd和運維技術跟著喊

Arbin12/22 17:27其實講那麼多 銀行端還不用以資安名義來說 用營運資訊外洩

Arbin12/22 17:27（資料表名稱）就有得把相關承辦人員叫去唸了...

Arbin12/22 17:28雖然這廣義上來說也是資安問題就是 哈

superpandal12/22 17:28這與iso有什麼關係？

superpandal12/22 17:32要無限上綱曝露一點什麼都是可以的 但更像是鬥爭

superpandal12/22 17:32而不是檢討

Arbin12/22 17:33ISO 27K吧 27001/27002算基本

Arbin12/22 17:3327014跟金融業有關

Arbin12/22 17:34如果公司有認真做的話 照上面ISO標準驗是不會過沒錯 前提

Arbin12/22 17:34是要認真做...

superpandal12/22 17:36那就是管理規範而不是技術規範

Firstshadow12/22 17:36竟會問這與iso有什麼關係..在下有點失望了 超熊大大

Arbin12/22 17:38對是管理規範 但技術人員也要參考這些管理規範做事 所以有

Arbin12/22 17:38時候技術人員知道那可能沒什麼 但在管理方面還是要遵守

superpandal12/22 17:38我確實不懂管理 不用失望什麼

Firstshadow12/22 17:39沒事的 超級熊貓大 你的一些觀念在下還是敬佩的

superpandal12/22 17:41我只要確保技術上給我管理一台機器沒人可以攻破即可

yoyo89012112/22 18:08錯誤訊息不能直接印給前端是很基本的吧

yoyo89012112/22 18:08又不是在開發環境.. 不懂有啥好爭的

superpandal12/22 18:12全部都你自己來你可以只顯示通常錯誤 但現實環境很

superpandal12/22 18:13複雜的 過往相關銀行的行事風格在本版已經講很多

superpandal12/22 18:14什麼都要不到情況是很恐怖的 給我選我都選曝露

kkes000112/22 18:27笑死居然會問和iso 有什麼關係

superpandal12/22 19:07原來問問都不行？ 還要腥腥作態裝客氣樓上就接受?

VL100312/22 19:23不是不行，只是你推文的態度感覺很熟這塊，但資安最基本的

VL100312/22 19:23的 iso 27k 你卻又突然不熟悉了，有點神奇。

Firstshadow12/22 19:25人家超熊大大只是熟`技術規範`的 :(

superpandal12/22 19:31我沒說我懂iso管理規範繁文縟節

superpandal12/22 19:33我只是懂技術 我知道怎麼做的近乎滴水不漏而已

superpandal12/22 19:34文中連水滴都不算的就另當別論

TonyQ12/23 08:02ISO 27001 雖說是公司資安常導入的控制點檢核/ISMS機制

TonyQ12/23 08:02但實務上 application 層/ 治理層的安全規範，本來就是不同

TonyQ12/23 08:03的專業內容...就跟會 iso 27001 的檢核規範，跟能打紅隊是

TonyQ12/23 08:03完全不一樣的事情一樣。

answermangtr12/23 09:30笑死

yunf12/23 11:45別傻了不可能滴水不漏 如果真的那麼強的話你早就在cia

yunf12/23 11:47https://tinyurl.com/24qtxb8u

yunf12/23 11:47世界上多得是你看都沒看過的漏洞

Merkle12/23 11:49先不講這些資料到底有沒有用 光後端往前端丟資料不檢查 前

Merkle12/23 11:49端也不檢查後端丟過來的資料內容直接show出來 稽核誰給過

yunf12/23 11:49https://tinyurl.com/26vgrym5 關鍵時候漏洞才會發揮作用

yunf12/23 11:51https://tinyurl.com/22ne7t6r 一網打盡

yunf12/23 11:53https://tinyurl.com/276pt7nb 要宣揚國威的時候就摔

yunf12/23 12:07https://tinyurl.com/22pumood 真的不要覺得你是固若金湯

yunf12/23 12:10https://tinyurl.com/2blc4u9l 從一開始就有問題

Firstshadow12/23 14:36湯尼Q大大說的真好！在下只是剛好兩邊都略懂而已:Q

darkMood12/23 16:40沒啥，只要錢不會被偷轉走，都是小事啦。

cmelo151512/23 19:49笑死

superpandal12/23 19:54"近乎"滴水不漏 很難理解嗎？ 首先應用如果都是自己

superpandal12/23 19:55寫的 防範下能出問題的就是底層設施 底層如果你又在

superpandal12/23 19:56套一些安全措施 如果有問題那差不多是系統層面有問題

superpandal12/23 19:58如果你不放在同個藍子裡那麼這個可能性又在被削弱

superpandal12/23 20:00能又再突破的那差不多是國家級在針對你

superpandal12/23 20:02基本上第一層能做好就差不多擋全部 我只相信我自己

superpandal12/23 20:03所以第一層肯定有好 外加知道哪些是很可能有問題

superpandal12/23 20:04的技術 避開即可免於很多麻煩

superpandal12/23 20:05哪些是垃圾技術都需要研究的

superpandal12/23 20:10CVE搜一搜哪些老是在出問題的就可以排除很多了

superpandal12/23 20:21系統真的自帶很多垃圾 什麼systemd pkexec都是

OyodoKai12/23 20:34看來樓上很適合加入銀行IT 讚讚

superpandal12/23 20:353以上只是成本最低的方法

superpandal12/23 20:37我不想加入也沒機會加入

OyodoKai12/23 21:09資安就是你行你上喇 哈哈哈

yunf12/23 22:53cve給你考古用的 這是地板不是天花板 還沒有實戰之前嘴防部

yunf12/23 22:53都是所謂近乎滴水不漏

yunf12/23 22:56https://tinyurl.com/28wesyeb 不堪一擊

viper970912/23 23:56聽起來滿猛的...

yunf12/24 00:11https://shorturl.at/PdvRT 歷史被洗光

yunf12/24 00:11只有老人才知道的史料

yunf12/24 01:18https://tinyurl.com/28edqqvm 假設你從100年後回頭看現在可

yunf12/24 01:18能就是這種感覺