※ 本文轉寄自 ptt.cc 更新時間: 2024-12-22 11:54:08
看板 Soft_Job
作者 標題 [討論] 國泰出這包不太行吧
時間 Sat Dec 21 01:22:13 2024
http://i.imgur.com/NpicdAz.jpg
![[圖]](https://imgur.disp.cc/CU/NpicdAz.jpeg)
![[圖]](https://i.imgur.com/EUgYxKnh.jpeg)
蠻屌的
直接整個錯誤訊息string吐回去給前端
吐給前端連資料內容判斷都不做直接吐回去
號稱資安最重要的金融業搞這樣
真的蠻屌的
--
推 : 我高中同學兄弟倆愛吃麥當勞常跑去偷吃 他爸有次生氣02/16 22:07
→ : 就射了02/16 22:08
→ : 了說愛吃就讓你們吃個夠 然後連續兩個禮拜晚餐都吃麥02/16 22:09
→ : 克阿瑟為子祈禱文02/16 22:09
→ : 我同學還是吃得很開心然後他爸先崩潰了02/16 22:10
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.34.90.106 (臺灣)
※ 作者: Merkle 2024-12-21 01:22:13
※ 文章代碼(AID): #1dPQV98J (Soft_Job)
※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1734715337.A.213.html
推 : 這個都中台而已啦 不用怕1F 12/21 01:40
→ : 真正的核心老到連錯誤訊息都沒有的
→ : 真正的核心老到連錯誤訊息都沒有的
推 : 複委託掛不知道是不是一樣的原因3F 12/21 01:47
推 : 某家銀行核心系統有CVE9.8的漏洞 執行長蓋章上線 不怕4F 12/21 01:49
推 : 又 又 又是國泰5F 12/21 02:05
→ : https://tinyurl.com/29cwkhc6 win3.1用過沒?6F 12/21 02:20
→ : 別人有心挖洞 全台灣應該會雞飛狗跳
→ : 他們只是不挖而已 選在關鍵的時候才挖
→ : 你看今天道瓊波動超過1100點
→ : 然後那個說法又剛好過了
→ : 如果你們還了解這些故事背後的故事你們就會覺得一切都很合理
→ : https://tinyurl.com/26vgrym5
→ : 別人有心挖洞 全台灣應該會雞飛狗跳
→ : 他們只是不挖而已 選在關鍵的時候才挖
→ : 你看今天道瓊波動超過1100點
→ : 然後那個說法又剛好過了
→ : 如果你們還了解這些故事背後的故事你們就會覺得一切都很合理
→ : https://tinyurl.com/26vgrym5
西南航空堅持使用 Windows 3.1 成功避開 CrowdStrike 全球 Windows 大死機 | 流動日報 | LINE TODAY 美國第四大航空公司 Southwest Airlines (西南航空)因使用 Windows 3.1 系統而未受到 CrowdStrike ... ...
![[圖]](https://scontent-nrt1-1.cdninstagram.com/v/t51.75761-15/468602379_18026758994610814_8067701543527305896_n.jpg?stp=cmp1_dst-jpg_e35_s640x640_tt6&_nc_cat=111&ccb=1-7&_nc_sid=18de74&_nc_ohc=2ae-E9TNJgUQ7kNvgHGAnfZ&_nc_zt=23&_nc_ht=scontent-nrt1-1.cdninstagram.com&_nc_gid=AndR-uN0TRWfbIYh9bDJkmq&oh=00_AYAbPAWnRgO-70KmKsSV_B8uEK54UDAE67HIkoAzs36a7g&oe=676D5A6C)
快訊/台菲緊張之際 F-16戰機嘉義外海墜毀 | ETtoday政治新聞 | ETtodayAMP
![[圖]]()
台菲關係緊張之際,一架F-16戰機15日下午傳出在嘉義外海墜毀,飛行員吳彥霆跳傘獲救,已由空軍接回嘉義空軍基地,進一步消息尚待確認中。 ...
![[圖]](https://cdn2.ettoday.net/images/306/d306018.jpg)
推 : 重點是會吐這麼詳細的訊息,該不會跑 debug mode 吧15F 12/21 02:34
越南軍隊股份商業銀行 - 維基百科,自由的百科全書
越南軍隊股份商業銀行[1](越南語:Ngân hàng thương mại cổ phần Quân đội;英語:Military Commercial Joint Stock Bank),通稱MB Bank(軍隊銀行[2]),越南的股份制商業銀行,越南國防部直屬。股東包括越南軍用電子電信總公司、國家資本投資經營總公司(英語:State Capital Investment Corporation)、越南直升機總公司(英語:Vietnam Helicopters)、西貢新港總公司(英語:Tổng công ty Tân Cảng Sài Gòn)。 ...
越南軍隊股份商業銀行[1](越南語:Ngân hàng thương mại cổ phần Quân đội;英語:Military Commercial Joint Stock Bank),通稱MB Bank(軍隊銀行[2]),越南的股份制商業銀行,越南國防部直屬。股東包括越南軍用電子電信總公司、國家資本投資經營總公司(英語:State Capital Investment Corporation)、越南直升機總公司(英語:Vietnam Helicopters)、西貢新港總公司(英語:Tổng công ty Tân Cảng Sài Gòn)。 ...
推 : 駭客表示欣慰...17F 12/21 03:09
→ : 更新的目的其實只是為了讓他掌握你系統漏洞是他可以用的18F 12/21 04:16
推 : opt存db? 有沒有實作範例19F 12/21 07:12
推 : 銀行真的笑爛20F 12/21 07:25
推 : 銀行IT或乙方開發就屎中之屎21F 12/21 09:34
→ : 能不去就不要去,
→ : 風氣就是根本沒在想解決問題的
→ : 能不去就不要去,
→ : 風氣就是根本沒在想解決問題的
推 : 一樓好好笑24F 12/21 09:41
→ : catch exception 直接印出來25F 12/21 10:36
推 : 靠腰XD 這種錯誤都是寫到Log內 怎麼往前端丟26F 12/21 10:42
→ : 還好吧 又沒有敏感資訊 你看到又能怎樣?27F 12/21 10:43
推 : Oyodokai 笑死==28F 12/21 10:44
→ : 確實沒敏感資訊 不過現在大家都知道他們用MS SQL Server了29F 12/21 10:51
→ : (?
→ : (?
推 : 銀行用MS SQL Server是秘密嗎?31F 12/21 11:23
→ : 不是 我在講幹話32F 12/21 11:25
推 : 也許它篩選過了 storage這種就是沒資安問題的messag33F 12/21 11:27
→ : e(?
→ : e(?
推 : 笑死,完全沒有資安觀念,一點點都沒有,還秀訊息...35F 12/21 11:35
推 : 這種掃白箱算低風險吧 我猜他們報告中高太多 所以低的先36F 12/21 11:40
→ : 不改了
→ : 不過現在被網友抓包 大概傳到他主管那他還是得改XD
→ : 不改了
→ : 不過現在被網友抓包 大概傳到他主管那他還是得改XD
推 : 超好笑39F 12/21 12:42
推 : 我昨天想說...帳戶怎麼了咧40F 12/21 13:04
→ : 這用一個最簡單的string length or key word filter就可以41F 12/21 14:13
→ : 濾掉了 這都不做是多懶
→ : 濾掉了 這都不做是多懶
推 : 做了對考績有幫助嗎?43F 12/21 14:21
→ : 萬一加上去系統壞掉怎麼辦? 我的考績很重要耶
→ : 等到出問題再修好它不就可以提升考績
→ : 萬一加上去系統壞掉怎麼辦? 我的考績很重要耶
→ : 等到出問題再修好它不就可以提升考績
推 : Ex 本來就抓bug訊息用的46F 12/21 14:35
推 : 複委託也是出包47F 12/21 14:35
推 : 笑死,每次回臺灣在 reddit 查臺灣銀行 ATM 之類的資訊得48F 12/21 15:12
→ : 到的評論都是 the most backwards banking system ever s
→ : een on earth
→ : 到的評論都是 the most backwards banking system ever s
→ : een on earth
→ : 這件事要講,說上面鬼話的人,根本沒待過歐美。51F 12/21 15:14
推 : 我的 Wise 帳號到現在還是不能存臺幣,國泰今年四月甚至52F 12/21 16:17
→ : 直接禁 Wise
→ : 每次要幹嘛都要去便利商店 ATM,明明手機 app 30 秒就可
→ : 以完成的事變成一定要出門
→ : 而且回來第一個月就遇到兩次便利商店 ATM 系統壞掉/維修
→ : 光這些我就完全不會想再用臺灣銀行了
→ : 直接禁 Wise
→ : 每次要幹嘛都要去便利商店 ATM,明明手機 app 30 秒就可
→ : 以完成的事變成一定要出門
→ : 而且回來第一個月就遇到兩次便利商店 ATM 系統壞掉/維修
→ : 光這些我就完全不會想再用臺灣銀行了
→ : 台灣的任何銀行都要小心自己錢會不會變少。前陣子,發現台58F 12/21 17:46
→ : 銀亂扣我帳戶股款,重複扣錢。還要人主動發現,打電話才退
→ : 。還修了幾個小時,有夠弱。
→ : 台灣的銀行業,都是靠備份來保障資料安全的,出了事情就還
→ : 原,完全沒品質與信賴可言。
→ : 銀亂扣我帳戶股款,重複扣錢。還要人主動發現,打電話才退
→ : 。還修了幾個小時,有夠弱。
→ : 台灣的銀行業,都是靠備份來保障資料安全的,出了事情就還
→ : 原,完全沒品質與信賴可言。
推 : 台灣根本不適合住人==63F 12/21 18:14
→ : 台灣不是不適合人住,是這邊被人搞到覺得不適合人住64F 12/21 18:34
推 : 63 F滑坡太多了吧65F 12/21 18:42
→ : 國泰的問題也扯這麼遠。雖說國泰不意外
→ : 國泰的問題也扯這麼遠。雖說國泰不意外
推 : 沒有監控容量也太沒規範了吧67F 12/21 19:46
推 : 看到錯誤訊息笑出來 XD68F 12/21 22:56
→ : 這不算什麼資安問題 就是服務暫時不可用69F 12/21 23:02
→ : 我也很喜歡這麼做 第一db就那幾種 也沒詳細到版本
→ : 第二曝露出來的訊息多半使用者已知 沒注入問題是還好
→ : 更嚴重的是server在回傳的時候跟客戶端說自己是用什
→ : 麼技術寫的 還不少框架和技術會這麼做
→ : 這種db錯誤多半也都是runtime error 方便除錯多半曝
→ : 露出來的少少資訊也就容易開發時就沒了 db 也不會傻
→ : 到曝露很隱私的資訊
→ : mssql倒是沒用過 應該不會這麼傻
→ : 我也很喜歡這麼做 第一db就那幾種 也沒詳細到版本
→ : 第二曝露出來的訊息多半使用者已知 沒注入問題是還好
→ : 更嚴重的是server在回傳的時候跟客戶端說自己是用什
→ : 麼技術寫的 還不少框架和技術會這麼做
→ : 這種db錯誤多半也都是runtime error 方便除錯多半曝
→ : 露出來的少少資訊也就容易開發時就沒了 db 也不會傻
→ : 到曝露很隱私的資訊
→ : mssql倒是沒用過 應該不會這麼傻
→ : 別扯一堆 這訊息就是印到log client或web只顯示不可用78F 12/21 23:13
→ : 方便不是給你隨便的理由 這種就手機開發前後端沒切乾淨
→ : 方便不是給你隨便的理由 這種就手機開發前後端沒切乾淨
→ : 然後呢? 資安問題? 首先我並與國泰沒有任何關係80F 12/21 23:19
→ : 實話實說就是這個問題不痛不癢
→ : 對於資安來講是這樣 當然只回傳錯誤是可以
→ : 但我不覺得這訊息可以上升到資安級別
→ : 有問題的資安問題太多了 而且一般人還不知道
→ : 該注重的點不注重 雞毛小事倒是拿放大鏡
→ : 資料庫都不是第一門戶的 第一門戶是server
→ : 說到曝露 瀏覽器本身還曝露了更多訊息 雖然我也是web
→ : 仔 但憑良心講web就不是什麼注重隱私的東西
→ : 先把瀏覽器的洞全部堵上再來討論資安的細節 首先clie
→ : client端不安全就是通殺了 雖然這樣資安人員應該會
→ : 失業
→ : 實話實說就是這個問題不痛不癢
→ : 對於資安來講是這樣 當然只回傳錯誤是可以
→ : 但我不覺得這訊息可以上升到資安級別
→ : 有問題的資安問題太多了 而且一般人還不知道
→ : 該注重的點不注重 雞毛小事倒是拿放大鏡
→ : 資料庫都不是第一門戶的 第一門戶是server
→ : 說到曝露 瀏覽器本身還曝露了更多訊息 雖然我也是web
→ : 仔 但憑良心講web就不是什麼注重隱私的東西
→ : 先把瀏覽器的洞全部堵上再來討論資安的細節 首先clie
→ : client端不安全就是通殺了 雖然這樣資安人員應該會
→ : 失業
推 : 這錯誤訊息有點猛XD92F 12/22 00:13
→ : 那就麻煩web仔寫一篇能堵住的來給菜雞們上一課吧!93F 12/22 05:44
→ : 資安人員應該不會因爲這點失業要管的東西太多了又不是只有we
→ : b
→ : 資安人員應該不會因爲這點失業要管的東西太多了又不是只有we
→ : b
推 : 看起來還好啦 我覺得容量爆了比較誇張 啊不就還好今天96F 12/22 05:58
→ : 炸的是minor db
→ : 炸的是minor db
--
※ 看板: Soft_Job 文章推薦值: 0 目前人氣: 0 累積人氣: 33
作者 Merkle 的最新發文:
![]()
蠻屌的 直接整個錯誤訊息string吐回去給前端 吐給前端連資料內容判斷都不做直接吐回去 號稱資安最重要的金融業搞這樣 真的蠻屌的97F 29推- 19F 11推
- 12F 3推
- 10F 3推 3噓
- 36F 20推 5噓
點此顯示更多發文記錄
→
guest
回列表(←)
分享