Re: [新聞] 鑽APP漏洞詐全聯!推薦會員200點...2高
工作上常會遇到一些工作室來鑽這種漏洞
在工作室的術語裡面 稱這種有辦活動的公司叫做白菜
他們的工作就是刷白菜 要跟這些工作室鬥智是必要的
以這個案例裡面有問題的幾個地方感覺是可以注意的
1.電話號碼
在台灣電話號碼理論上應該是比較難大量取得的
所以應該是 PM 有提出只要電話號碼沒問題 就可以過關不檢查
工程師照規格作的話 不能算工程師的鍋
但還是有些網站可以提供免費收簡訊, 甚至還有可以談合作的空間
費用其實也不貴
我隨便舉兩個例子
https://www.yinsiduanxin.com/blog/35.html
還有其他更詳細的我就不提供了
當然如果是簡訊驗證那塊沒寫好的話, 就是工程師的鍋了
那代表全聯要嘛外包 要嘛花錢請的工程師或顧問層級太低
2.點數可以轉移
做此類型活動, 一般點數是不可轉移, 就算轉移也是上轉下
在控管時候比較可以監控跟控制整條線的情況
通常如果有不限制的點數轉移, 安全機制就必須加上
轉移就跟洗錢一樣 技術好的話其實洗到你很難追查
這次我看是菜鳥等級的 才會輕易被查到
不然跳跳 IP, 弄些假身份, 找其他收錢管道都是很正常的事情
3.安全檢查機制
報表式的監測跟檢查, 沒時間作完整的話, 也可以在半夜直接組 SQL 統計檢查
監測每天, 每個帳號, 每個IP 的成長跟排行數據
應該是可以快速看出問題, 即早發現的
這一塊通常資深工程師, 可以說服公司處理才對
有點層級的工程師, 即使公司資源不足情況下, 也該用抽查方式, 或是提供 SQL 監控
之前的經驗是, 工程師必須了解邏輯並且想的多一點, 最好還有採坑經驗
因為用戶為了錢, 會無所不用其極的鑽你的漏洞
很多你自己的邏輯跟技術問題, 一下就會被攻破
更別說你完全按照規格完成以後, 還是有很多延伸的邏輯問題可以注意
台灣大多數的線上問題都是防君子 還有法律可以協助
真正進階的攻擊者 是不會留下這些尾巴的 所以還是能多加強比較保險
以上幾點是目前想到的 大家有想到可以補充討論
--
最喜歡的一句話是?
世界和平
最尊敬的人是?
德蕾莎修女
請說一句話。
大家都要幸福喔~
--
看是找到什麼樣的員工跟主管.....不好說XDDD
很多網站都馬防君子而已
不過牽涉到錢確實該慎重
人在臺灣還能抓得到,在國外的話就有些難度了,別忘了,
有些類似這種的都是成員分散在N個國家。
這個活動很趕,你先快點做
所以像這種以手機為主的程式最好就是把手機號碼設為uniq
ue,然後pk使用surrogate key以提供換門號的需求
感覺就是想cost down 不尊重專業的下場
另外這個案例提供一些經驗:最好用國外的簡訊代收平台,
然後不要集中把點數轉給一個人,賣出後再由不同人轉點數
給買家,至於金流是比較麻煩的,容易要被查到,洗錢成本高,
不划算
處理金流問題確實麻煩
總不能讓買家都付你門羅幣XD
他就笨在把點數集中 隨便撈一下資料也知道他在亂搞啊
不然幾百個帳號零散的點數轉給零散的不同帳號太正常了
工程師沒那個時間仔細作查驗 這種工作價值太低
怎麼講到最後都是工程師的鍋...
因為檢討被害者優先++
不過這種東西要防 就得從一開始的機制做好上限
其實能加到這麼多也是蠻奇葩的
有可能是包袱 例如真的就是有大戶可以這樣玩
我某個客戶的會員消費累計金額都破千萬的 看了紀錄
都覺得太神惹
而且還不是單純破 是數,且這種人不是一個
工程師蠻可憐的 遇到這種秀下限的會員or工作室就要想
辦法攻防
之前也遇過一些會員喜歡拿試用品 就大量註冊 客戶資
本粗沒在怕 讓會員多拿幾次
平均這群人會多拿二三次左右 然後再會有幾個人這群
的極端
例如:重複拿到超過三四十次的XD 甚至阻擋機制啟用
後還是繼續努力不懈
86
[爆卦] 馬斯克又砍了50個軟體工程師感恩節前夕,馬斯克"又"砍了50個軟體工程師,包括一些H1B的。 原因是檢查過他們的code之後,認為他們不夠格。 "code is not satisfactory" 被砍的H1B強國人67
[討論] 緯創資通徵5年以上的資深工程師才30k起?最近看到高雄緯創資通在大舉徵才 本來想說雖然是系統廠但也不會太差吧 但看到徵5年以上的資深工程師,待遇居然才30k起~最高70k 這會不會太扯? 看需求也不簡單耶 緯創資通徵5年以上的資深工程師才30k起?26
Re: [分享] 交友軟體詐騙上個月被騙幾百萬的工程師 是那個仙女跟他聊天後,就訴苦說前男友很渣,前男友有創立一個賭博平台, 她知道漏洞要報復前男友 因為仙女的照片太美了,工程師就加入報復渣男行動,匯了很多錢進去那個網站, 然後要利用漏洞來洗錢出來,報復那個渣男前男友13
Re: [討論] chatGPT會取代軟體工程師嗎?這個問題讓我們請ChatGPT來回答 提問: 簡短說明軟體工程師可利用chatGPT的方式, 以及chatGPT無法取代軟體工程師的地方。 ChatGPT回答:3
[閒聊] 通訊大賽分享本身是軟體工程師,之前在大公司上班現在自己成立個人工作室,最近想組建一個團隊做物聯網技術開發。 朋友推薦我可以去參加經濟部工業局舉辦的通訊大賽徵件。 雖然自認在業界也認識不少技術工程師,創業這幾年才發現除了技術以外,「商業模式」才是真的需要好好鑽研水很深的領域。 不知道有沒有學長學姐們有組隊參加的經驗可以分享給我? 我工作室目前開發的是物聯網app,不知道在商用市場上有沒有可行方案。2
Re: [請益] 中年轉職選擇: BI大數據vs iOS開發工程師??? 我有看錯嗎… 你在金融業實作 Web 系統,但你卻不認為你是開發應用程式的工程師? 那你到底是什麼? 「應用程式」是相對於那些純粹用來滿足科技的運用或管理之需求的程式 ── 例如編譯器、作業系統、驅動程式、軟體框架…等,1
Re: [問卦] 為什麼社會新鮮人被騙就不是活該?詐騙跟學歷有什麼關係 很多人社會經驗不夠就會被騙 例子:網路買iPhone 苗博雅遭詐1萬3 台大+議員 這學經歷都會被騙