作者 pichubaby (Pichu Chen)
標題 Re: 新手剛入職就發現有SQL injection漏洞 該回報嗎
時間 Wed May  3 23:45:03 2023


不好意思認真回一下

簽約前和簽約後做法不一樣,簽約後會有保密義務,雖然聽起來是公開程式碼但是
簽約後你不能把這個漏洞拿去 hitcon zeroday 換好寶寶章。

簽約前你可以拿去 hitcon zeroday,或者是回報給他們老闆,然後按碼錶,看多久會修
決定要不要待。

然後更好的做法是你可以打聽看看這個程式碼有哪些客戶使用,例如某公部門、某銀行、
某上市公司,之後直接打電話進該公司的資安主管部門和他們驗證,經驗上這樣會修的比
較快。


寫出漏洞不一定是問題,因為漏洞不一定會被發掘,有可能因為沒有人力Review或是價值
過低所以存放兩年都沒發現,CVE-2014-0160 Heartbeat 漏洞就是這類型的漏洞,你要說
OpenSSL 開發者不懂資安嗎? 嗯?


所以我的建議就是直接附上 POC 然後回報給他們老闆,我遇過的案例是老闆直接轉給客
服,由客服一步一步告訴我要怎麼做,最後我是我回報給他們客戶,附上POC,然後他們
也很有誠意的當晚漏夜把漏洞修掉。


那你從這個過程就會可以側面觀察出來你接下來是不是那個負責要漏夜把漏洞修掉的人。
以及這間公司對於漏洞回報的SOP到底是什麼,有沒有制度化,還是隕石雨的正在進行式?

原則上漏洞回報到公開,通常會有大概三個月左右的時間,即使是矽谷大手公司也是這樣
你道義上不能回報後24小時馬上就把漏洞細節公開,除非他和你說「這東西不是漏洞」
那你才可以直接公開。

為什麼會有這樣空窗期?因為照正常軟體開發流程,程式碼合併之前還是要做Review以及
測試,同時要確定同類型的漏洞(git blame)有同時修掉,所以如果他馬上就修掉發新版
本,很有可能代表他們沒有Review流程以及測試流程,接不接受見仁見智。


在空窗期營運團隊也不是什麼都不做首先是第一時間的修補以及查詢,常見的做法
是將有疑慮的功能先下架再說,這部部分通常是營運團隊要做的,但是也有可能規模
過小營運=開發=Devops,所以來不及反應。這部分你可以從幾點開始你沒辦法 Query
到資料庫來知道營運團隊目前反應速度如何。


再來是通知義務
個資法第十二條規定
公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應
查明後以適當方式通知當事人。

雖然我看目前上市的PC某和現在不知道球踢到哪裡的OO部好像還不曾通知過個資洩漏事件
所以這部分如果該公司有做,說明這個企業主對於社會責任是很重視的。
只是有沒有通知這件事情如果他只做2B,應該不好觀察。

另外還有一個有趣的東西可以觀察,該公司文化會不會懲處寫出Bug的工程師。
我有聽說過有些公司會,這種千萬不要待,一點意義都沒有。

--
此篇文章以 CC BY-SA 4.0 發表。

咖啡是一種豆漿,
茶是一種蔬菜湯。


--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 150.117.165.81 (臺灣)
※ 作者: pichubaby 2023-05-03 23:45:03
※ 文章代碼(AID): #1aKe6J4k (Soft_Job)
※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1683128723.A.12E.html
※ 同主題文章:
Re: 新手剛入職就發現有SQL injection漏洞 該回報嗎
05-03 23:45 pichubaby
abccbaandy: 推最後一段,bug數當績效根本笑死1F 05/03 23:53
e12518166339: 認真回不用不好意思!2F 05/04 00:53
yumekanau: 感謝分享3F 05/04 05:18
superpandal: 最後的就是程式碼亂七八糟還要求別人不寫出bug 給老屁股整人用的
但先前不控制質量 後來才搞一堆有的沒的不是很可取整到很好維護後面就可以盡量休息了 不好嗎 XD4F 05/04 05:38
tgyhuj01: 回樓上 非接案性質當然好 但接案的常常一個人可能有多個案子同時在run 沒有做到好就有時間休息這種事 所以才說不要用自家產品的思維去看接案8F 05/04 07:26
s06yji3: 非接案性質也是會同時跑多個案子...11F 05/04 08:38
EQspb: 推 感謝大大分享12F 05/04 09:03
leolarrel: 我很怕tgyhuj01這種觀念的人當上RD大主管,恐怖,到處埋雷然後推給沒時間
接案公司有接案公司維持品質的方法,而不是埋雷給他爛13F 05/04 09:41
tgyhuj01: 不同位置環境不同做法 這麼不會變通嗎16F 05/04 09:44
leolarrel: 你的變通就是放爛品質?17F 05/04 09:45
tgyhuj01: 希望你真的是不管什麼環境都始終如一 而不是說得漂亮
說漂亮話大家都會 現實能做到才是真的18F 05/04 09:45
leolarrel: 你不認識我所以認為我只是說說那也合理.但業界上不只是說而是真的做得到的大有人在只是你不認識而已,ptt強人很多,你是不是先檢討自己一下20F 05/04 09:48
tgyhuj01: 這種東西需要強人才能做到嗎? 我已經說了環境和位置不同23F 05/04 09:49
leolarrel: 沒認識那些做得到的人就以為現實上做不到,笑死24F 05/04 09:49
tgyhuj01: 很難理解嗎 說現實一點就是沒錢還要求品質 慈善事業嗎25F 05/04 09:50
leolarrel: 環境咧,位置咧,不就是沒能力的藉口而已26F 05/04 09:50
tgyhuj01: 對 像你說的都做得到 所以現實上一堆爛系統都是哪來的麻煩你趕快去改善 不要在這裡用說的27F 05/04 09:51
leolarrel: 你們這些找藉口的RD來的啊29F 05/04 09:51
tgyhuj01: 不做就等於沒能力 你的理解真狹隘
希望你做事真的如你所說 隨時全力以赴
不是只有在嘴巴上全力以赴30F 05/04 09:52
leolarrel: 先是找一堆藉口,然後再攻擊別人耍嘴皮,還有什麼招?33F 05/04 09:58
tgyhuj01: 好啦 你是大聖人 我都是找藉口 你很強很認真 心口如一動不動就先質疑人家沒能力的 再說別人攻擊你 人性如此說的好像自己真的每個案子不管條件如何都做得很完善一樣34F 05/04 10:00
yamagishi: 先不說重構的成本,你舊的 code 有動到就需要跑一次 test 了
有在做 CI/CD 要改當然是沒問題,沒有的情況就不只你一個人的問題了
全新的東西的話當然是建議拋棄歷史包袱37F 05/04 10:06
luke72: 看一些菜味有夠濃的在那邊嗆,真有趣
前公司也有這種半桶水菜鳥,什麼都說要打掉重做42F 05/04 10:13
acgotaku: 哥 你有想過甲商可能只是小商家或外包已經三包四包出來44F 05/04 10:15
luke72: 宣稱各種仙丹用了萬事搞定,真的給他做就各種爆炸45F 05/04 10:16
acgotaku: 外包公司也沒什麼利潤好賺,甲方也早就沒再用或收起來了說不定尾款都還欠著給不出來,外包公司就是這麼屎
興致勃勃去改這種東西,就像你學弟揪著你的畢業論文說
你寫這爛貨為什麼教授讓你畢業 你給我回來實驗室重寫喔46F 05/04 10:17
TAKADO: 現實大概就是合約保固或各種成本考量,上面擺爛一個小PG也無可奈何,不然我不相信那些一天到晚個資外洩的電商或品牌官網,他們的工程師一點感覺都沒有。身為一個有骨氣的工程師,要嘛就塊陶不然就眼睛閉起來當沒看到祈禱不會核爆就好,然後告訴自己下次一定。50F 05/04 10:36
rabbitu04: 推分享55F 05/04 10:49
luke72: 大公司的技術債只會更多,新創才會0技術債56F 05/04 10:55
as30385438: 0技術債代表你的東西沒人用57F 05/04 11:08
kurtsgm: 哈哈 樓上有人太理想化了吧 我覺得某鄉民說得對 沒錯啦接案公司有接案公司維持code乾淨跟架構的方法 不是做不到某某大神 某某PTT神人 某某技術長 肯定做得到 對 都對
你做不到是你弱 人家神人都可以 對 沒錯 你說的都對
但拿少數特例當常態484搞錯了啥 或是對業界常態不了解?當然有那種code很乾淨又什麼東西都做架構做模組化的接案公司 也許反映在價格上或是管理成本上 這不好說
但一堆爛大街的接案公司胡搞瞎搞只求結案也是常態58F 05/04 11:43
leolarrel: "一堆爛大街的接案公司胡搞瞎搞"<-沒錯啊,但就不要把不要把乎搞瞎搞當作正常合理,公司高層不自我要求,RD自己也不自我要求嗎?
身為一個RD,軟體品質這種事情有什麼好"變通"的.寫一堆爛code,搞死同事客戶然後找一堆藉口嗎?環境,客戶,公司政策無法選,但開發工具,軟體工程步驟,寫code習慣,同事合作機制.何況,SQL injection這種這麼基礎的問題,又不66F 05/04 12:39
tgyhuj01: 樓上自我要求這麼高 照理說應該很神才對啊73F 05/04 12:48
leolarrel: 什麼千年難得一遇的資安bug, 說做不到?74F 05/04 12:48
tgyhuj01: 怎有空在這裡一直鄙視人呢 動嘴做永遠比動手做容易
還是那句 希望你自己都有做到盡善盡美 別自打嘴巴
上面一堆人說不是做不到 是現實問題不想做
你整天在鄙視人家做不到 有你這種主管才可怕
給的資源少的可憐 要求一大堆 這就是現實75F 05/04 12:49
leolarrel: 所以你真正氣的點是被鄙視,而不是寫code品質.80F 05/04 12:54
tgyhuj01: 對阿 沒想到有人這麼神 卻不身體力行 ptt上趕快多發幾篇分享你的技術和職場倫理 以你的理論來說不難吧?81F 05/04 12:55
leolarrel: 被鄙視才是你真正的雷,跟你說什麼環境,什麼現實根本無關.83F 05/04 12:56
tgyhuj01: 這是做的到的事情 你怎麼不做呢85F 05/04 12:56
leolarrel: 現在github,部落格那麼方便,隨便一個RD都有在網路分享技術吧,你怎麼會去酸別人多分享?86F 05/04 12:59
tgyhuj01: 那歡迎你貼上來分享阿 不要只說不做啊
不是你說的嗎 做的到為什麼不做
做的到的事情不做=能力不足 自我要求不夠 不是你說的嗎一直拿別人可以做到來說嘴 你自己做到了嗎
隨便一個RD都有 代表你也有阿 為什麼不分享88F 05/04 13:00
leolarrel: ...你不知道github有搜尋功能?93F 05/04 13:04
tgyhuj01: 一直找藉口?貼上來很難?做不到?94F 05/04 13:06
leolarrel: 你伸手牌喔?95F 05/04 13:06
tgyhuj01: 你一直再身體力行你鄙視的事情耶 不陪你玩了96F 05/04 13:07
leolarrel: 笑死,伸手牌要人貼網址,side project都public,搜就有97F 05/04 13:08
t64141: 另外一個角度,習慣的影響力是很大的,當在垃圾堆習慣後,就算給你好的環境和足夠的資源,產出的可能也是亂七八糟的東西,所以即便環境很爛,也盡量避免合理化他甚至讓自己變成那種形狀98F 05/04 13:11
tgyhuj01: 最後回你一次 我聽你的去搜了 結果發現你幾個月前102F 05/04 13:15
leolarrel: 我講話你們覺得肚爛沒關係,樓上講的平和中肯,沒理由不接受了吧103F 05/04 13:15
tgyhuj01: 才跟人家說如果是你 會被把溝挖的更深
怎麼跟你主張的自我要求不太一樣 公司不好 你就搞破壞嗎這行為就合理是吧 果然同樣的事情自己和他人標準是不同105F 05/04 13:16
leolarrel: 好啦,我說的你就盡量不爽,t64141大大說的你還聽不進去就不甘我屁事108F 05/04 13:17
tgyhuj01: 現在是裝聖人被揭穿 就不開心了?110F 05/04 13:18
leolarrel: 笑死,整篇看起來是你自覺得被鄙視一直不開心在回擊111F 05/04 13:19
tgyhuj01: 看到有問題就想改 不考慮其他條件 這理想化的合理
留給各位高手了 我們這種弱者比較適合活在現實
整篇看起來好像也包含你很不開心 有沒有發現?112F 05/04 13:20
leolarrel: 我說的你不爽很可以啊,我尊重你,你有不爽的自由,盡量不爽.不爽完,想想人家神人怎麼做的,多少學一點吧,唉115F 05/04 13:22
chatnoir: 人家好好一篇文章, 你們要吵可以自己私信吵..117F 05/04 13:28
tgyhuj01: 神人做的到是神人的事情 你做的到嗎 從公司不好就想搞破壞來看 你是做不到 既然如此你在這高談闊論自己做不到的事情? 版面還給各位 跟原po道歉 佔用了你的好文118F 05/04 13:31
leolarrel: 你自覺神人是神人的事情,你自比不是神人不想去做,那也好.你覺得我做不到那也是你自己的認為我也尊重拉,但至少我認為我每天都要再多進步,不論是寫code品質或是追隨神人的過往經驗.121F 05/04 13:37
vi000246: 這篇文底下怎麼戰得亂七八糟的125F 05/04 13:44
DarkIllusion: 沒頭沒腦地去評價別人常常就是吵起來的原因126F 05/04 13:47
sniper2824: 就有人把死線當無敵星啊 講不得127F 05/04 14:33
kurtsgm: XD 死線不是無敵星啊 是甲方的尚方寶劍 會被砍滴
拖過死線搞到兩間公司互告的事情我看多了128F 05/04 15:19
hugo524: 感謝分享130F 05/04 15:50

--
作者 pichubaby 的最新發文:
點此顯示更多發文記錄