Re: [討論] 維護者、道德與安全 - Jaies板

首頁(home) 上頁(↑) 下頁(↓) 末頁(end)

※ 本文為 Jaies 轉寄自 ptt.cc 更新時間: 2013-04-09 00:40:07

看板 Soft_Job

作者 JokerCatz (JokerCatz)
標題 Re: [討論] 維護者、道德與安全
時間 Wed Feb 20 14:53:39 2013

我這邊另外開新文補述，事件後我總共面試了兩次
一次中山分局，一次台北市刑大資訊室

心得感想是台灣的警察不知道什麼是XSS，而只有檢察官知道
台灣的警察不會用Mac(我的筆電被沒收...檢察官沒說要扣但警察單純的要業績...
而警察那邊來開機登入找文件都不會...)
台灣的警察不會用Linux查Log(......看我打指令好像很神奇？)
台灣的警察對這種案件沒有辦法：

大概就是第二次面試後三天，北刑大請我去看一個案子，大概是某個交易平台
被人XSS偷光所有東西，偷到大陸後再對台灣進行詐騙之類的
js來源是(xss.tw)，code的內容大概是完整的fake page & fake flow
然而被偷的人對該廠商進行了訴訟

偷到的人應該是在對岸，台灣的警察束手無策

自己看到了瞭解了之後很震驚...畢竟是相同的方式所完成的真實的犯罪手法

如果xss.tw和xssav.com都可以變成這類*低等級攻擊手法的交流地的話
有能力的人看到這些，與未來可能會發生的事情時，站方真的毫無作為時
所選擇的只能是隱忍嗎？

不管如何，誠如很多人所說，我真的只是nobody
我知道我的手法可能不漂亮或是有疑慮怎樣的，也得到我應有的後果
只是對於那些想對我說"關你屁事，吃飽太閒"的人說聲

哪天真的出事了，真的是你想要的嗎？

*註：不用任何工具就能達到目的攻擊手法，任何一台電腦都可以進行攻擊

--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 114.35.31.145

→ TonyQ:"被偷的人對該廠商進行訴訟" 該廠商為此付出代價1F 02/20 14:59
→ TonyQ:聽起來很合理啊。
→ TonyQ:該廠商該承擔他該承擔的，這點有什麼不對嗎？
→ TonyQ:另外 fake page 跟 fake flow 的那些環節算不算工具，就見人
→ TonyQ:見智了。
→ TonyQ:我不覺得你是吃飽太閒，但是你用的方式錯了。

→ cc1plus:山上和山下的單位對你應該有興趣, 去偵酒對報名一下...7F 02/20 15:03

→ yauhh:事情不是你這樣二分法就好了,是你的處理方式有問題.8F 02/20 15:12

推 descent:那還有什麼好方法呢？我不覺得這是好方法, 但想不到其他9F 02/20 15:14
→ descent:難道要真的等著出包, 該網站才真的意識到這問題的嚴重

→ hechian:我是不是該洗腦你再買一次Mac :P11F 02/20 15:17

→ j129008:廠商不見得會付出代價，會付出代價的是無知的使用者12F 02/20 15:21
→ j129008:所以廠商才有辦法視而不見，出包了就怪別人駭入就好

→ TonyQ:你用"不見得"，所以我就持保留態度。14F 02/20 15:22
→ TonyQ:不過"出包怪別人駭入" 是個錯嗎？ :)

→ j129008:黑客大可以單純偷取個資而不被發現，廠商損失啥?16F 02/20 15:23
→ j129008:所以我說受害的不會是廠商，而是使用者
→ j129008:廠商照理說擔負責任，但看樣子是嗎? 使用者的安全何在?

→ TonyQ:你的前提是駭客的行為不會被發現，but so ?19F 02/20 15:41
→ TonyQ:現實不總是這樣的啊。
→ TonyQ:當然我沒辦法反駁你沒有這種事情發生。
→ TonyQ:不過我覺得比起他採用的作法，更好的作法是預告加揭露漏洞。

推 RJking:"被偷的人對該廠商進行訴訟" 進行訴訟並不代表廠商會敗訴23F 02/20 15:41

→ TonyQ:要讓一個網站真的陷入危險，並不需要真的去攻擊。24F 02/20 15:42
→ TonyQ:更正一下，是 cracker。

→ RJking:既然不見得會敗訴，那就不見得會付出代價，而付出的代價也26F 02/20 15:42

→ TonyQ:而且他今天這樣的行為，如果反而導致使用者的密碼暴露，對使27F 02/20 15:42
→ TonyQ:用者真的是好事嗎？
→ TonyQ:我純粹就對他用的方法有意見，並不是說廠商沒責任。
→ TonyQ:也不是說這個作法是對的。

→ RJking:無法真正讓使用者獲得補償，應該說被外洩的個資已經回不去31F 02/20 15:43

→ TonyQ:我們現在都在討論假設性問題，如果你要討論假設性問題，就把32F 02/20 15:44
→ TonyQ:前提寫清楚。

→ JokerCatz:沒有暴露密碼的問題，整串都規劃過了，需要的話可提供JS34F 02/20 15:44

→ RJking:了...我只是想表示廠商並不會真的會負擔責任，而且也無濟35F 02/20 15:44
→ RJking:於事...

→ TonyQ:我指的是，假設有人同時跟他一起瀏覽同一個螢幕，結果不小37F 02/20 15:45
→ TonyQ:心看到那個密碼，這個 possiblity 你敢說沒有？
→ TonyQ:那個投影片留存的 cache 被其他人翻出來看到的可能性？
→ TonyQ:我的意思是，你仍然是增加風險。
→ TonyQ:你可能覺得你已經考慮很多了，但真的夠嗎？

→ JokerCatz:A...不可能看到的啦，JS請研究http://0rz.tw/5vti842F 02/20 15:48

→ TonyQ:根據我看到的畫面你是直接把密碼寫在畫面上 XD43F 02/20 15:48
→ TonyQ:翻了一下似乎有作 * 遮蔽
→ TonyQ:不過我還是不認為做這件事有什麼意義。

→ j129008:意義在於讓大家知道這個網站不安全，快陶阿46F 02/20 15:56

→ JokerCatz:意義是表示我能偷到但我不想要，而別人也能輕易偷到47F 02/20 16:03

推 codemonkey:感覺就是件白米炸彈客行動48F 02/20 16:30

推 soulbug:經過這事件相信原PO有心冷了一點建議不要試圖改變什麼49F 02/20 16:30
→ soulbug:心中有太多公平正義有時只是自討苦吃

推 codemonkey:這也不算公平正義吧，發起user連署比較正義一點51F 02/20 16:34

→ soulbug:先行革命者下場大多都是不好的...52F 02/20 16:35

推 codemonkey:要搞也應該去搞政府網站，搞不好會多個JokerCatz條款53F 02/20 16:39
→ codemonkey:規定以後外包網站都要通過xss檢查
→ codemonkey:革命成功又有成就感多好

推 art1:苦來自不認同把問題搞大得到應有重視的人56F 02/20 16:42

→ JokerCatz:所以沒看投影片內容，主要是讓全體使用者一人一信給站方57F 02/20 16:42

→ soulbug:我這樣說好了實行正義總要付出代價因為會侵害到別人利益58F 02/20 16:46
→ soulbug:像原po付出的代價就是喝茶聊天並列入公開的駭客名單中

推 newnovice:吃飽太閒對方不接受你的建議你就攻?60F 02/20 16:50

→ soulbug:並得到像樓上的不諒解我能理解原PO是為了使用者啦...61F 02/20 16:52
→ soulbug:預防總是優於治療但有部分人是沒辦法看這麼遠的

→ erspicu:為好玩跟成就感為他人算了吧63F 02/20 17:00

→ soulbug:非要學到教訓不可不說了運動去原PO若能理解我說的話64F 02/20 17:02
→ soulbug:對人生應該有幫助吧..

推 davidsky:警察會用linux查log才神奇吧...除非是電偵專長(?)66F 02/20 17:07

→ EJB:是不是吃飽太閒，那才是見仁見智67F 02/20 17:12

推 luciferii:你可以學 http://www.xssed.com/68F 02/20 17:25

XSSed | Cross Site Scripting (XSS) attacks information and archive Providing the latest information on XSS (cross-site scripting) vulnerabilities. Advisories, news articles, tutorials and an archive of XSS vulnerable websites. ...

→ luciferii:也可以學熱血的 plainpass.com69F 02/20 17:26
→ luciferii:要自討苦吃只能說活該...

→ yyc1217:覺得手槍危險可以警告所有人，不是朝無人處扣下扳機後再來71F 02/20 17:29

推 ARODisGod:我是覺得應該會有不少公司對你有興趣72F 02/20 17:29

→ yyc1217:說：看，這很危險吧，最後還堅持自己沒有射到人不算什麼73F 02/20 17:30

推 calqlus:這串文下來了你也看得夠清楚了在這世界上只要對自己好74F 02/20 17:39
→ calqlus:其他什麼的管他去死你看那失業負責弄禽流感報告的記者
→ calqlus:政府無視即便在網路上發燒過曾經被報導過現在呢
→ calqlus:雞肉類的食品還是便宜的詭異大家還是照吃
→ calqlus:在這世界上還是裝的傻傻地比較好都是they的錯~

推 aiti80630:推文說開槍的這個例子不錯啊79F 02/20 18:20

推 shortoneal:我覺得你寫一篇洋洋灑灑的文章公開某論壇有愚蠢的錯誤80F 02/20 18:23
→ shortoneal:就夠了，自己去打真的是落人話柄

推 dnzteeqrq:j129008:廠商不見得會付出代價付出代價的是無知的使用者82F 02/20 20:16
→ dnzteeqrq:若JokerCatz是為使用者出聲，那蠻同意只是要付出代價@@
→ dnzteeqrq:比那些滿口仁義道德卻又眼睜睜看事情發生的人好太多了

推 CRPKT:那我也可以說, 放著不管讓更多使用者付出代價, 大家才會覺醒85F 02/20 21:38
→ CRPKT:去整頓千千萬萬個不安全的網站?

→ dnzteeqrq:亡羊補牢?87F 02/20 22:49

→ alog:這些行為以前我就幹過，但你只能做到回報，不該去破壞88F 02/20 23:41
→ alog:以前也寫過 xss worm 作為 demo 給廠商但還是不能去破壞
→ alog:或許你覺得你做的事情是為大家好的但這需要手段
→ alog:你做的那些行為只會冒犯到別人不管是廠商還是使用者
→ alog:不過，如果你覺得對，那你就去做吧真的沒什麼
→ alog:這個社會可怕的地方在於你要突出，自然有人會把你磨鈍 :P..

→ wfgh:不懂裝懂喔資訊室就是mis單位而已你該去偵九隊走一下94F 02/21 00:02
→ wfgh:自以為技術強的心態唉

→ dnzteeqrq:一般人哪知道資訊室就是mis單位你有病哦！＠＠96F 02/21 00:13

→ alpe:真的是自以為熱血小朋友.97F 02/21 00:42

→ andymai:對於警察有沒有能力辦這種案子~應該要看該名警察的職位~如98F 02/21 04:02
→ andymai:果是一般警察或刑警~每天處理轄區事情的時間都沒有了~哪有
→ andymai:時間去學這些?隔行如隔山~你會的他們或許不會~但他們會的
→ andymai:同樣你也可能不會~不是嗎?

推 kindaichitom:資訊相關科系的學生都不見得每個人都會操作了...102F 02/21 21:00
→ kindaichitom:你只是遇到沒在辦資訊犯罪的警察而已...

推 astt88:現在有些政府專案會要求通過網站弱點掃描104F 02/23 14:34
→ astt88:不過，我覺得都是掃心安的
→ astt88:網站要較安全，除了開發者的認知與技術外，還必須考量到專
→ astt88:案開發的外包方式，若是一層包一層的專案外包方法
→ astt88:真正做開發的團隊可能拿到的開發預算可能非常少
→ astt88:只能說，身為開發者，要考量的因素太多
→ astt88:只能說，看到一些專案的問題，並希望自己不要犯相同的錯誤
推 astt88:我相信沒有程式開發者希望程式有Bug與漏洞
→ astt88:但有誰可以自認為自己開發的程式完全沒有漏洞與Bug

※ Last modified: 02/23/2013 14:44:48

--

※ 同主題文章:

　 02-20 10:52 JokerCatz. ■ Re: [討論] 維護者、道德與安全

　 02-20 11:41 erspicu. ■ Re: [討論] 維護者、道德與安全

　 02-20 13:18 erspicu. ■ Re: [討論] 維護者、道德與安全

● 02-20 14:53 JokerCatz. ■ Re: [討論] 維護者、道德與安全

　 02-20 17:49 yauhh. ■ Re: [討論] 維護者、道德與安全

　 02-20 23:22 tonytonyjan. ■ Re: [討論] 維護者、道德與安全

　 02-20 23:23 HYL. ■ Re: [討論] 維護者、道德與安全

　 02-21 00:05 Ageis. ■ Re: [討論] 維護者、道德與安全

　 02-21 09:54 JokerCatz. ■ Re: [討論] 維護者、道德與安全

　 02-21 10:33 trueQoo. ■ Re: [討論] 維護者、道德與安全