Fw: [問卦] 有沒有很多旅行社網站都可能有漏洞的八卦
※ [本文轉錄自 Gossiping 看板 #1PDmVH6r ]
作者: nakahusa (NA) 看板: Gossiping
標題: [問卦] 有沒有很多旅行社網站都可能有漏洞的八卦
時間: Wed Jun 7 03:51:42 2017
最近好幾個旅行社個資外洩的新聞,
好奇孤狗了幾個旅行社的網站來看,
結果隨便試了3個,就發現2個可能有含有漏洞的…
為了證明不是隨便虎爛,皆附上圖片。
PS:圖片中網址列裡的 %27 轉成文字就是「'」,內行懂的。
範例1:首頁最明顯的搜尋框,每一個欄位都可能有 SQL Injection 問題
http://i.imgur.com/NpI684B.png
範例2:知名旅行社,網站右下有個按鈕點進去,每一個網址參數都有 SQL Injection 問題
http://i.imgur.com/hqqDilG.png
最嚴重的 SQL Injection 都這麼容易發現了,
已經不敢繼續想下去了 XD
有沒有最好 Coding 等級練到多少再寫重要系統的卦?
-----
剛在八卦 PO 了一篇,感嘆台灣現在的資訊軟體環境真的蠻糟的,
很多公司給薪不高,可能請到經驗不足的人,
就讓他負責重要的系統開發,
甚至是一些專門在開發軟體的公司都有這種情況,
資安漏洞一堆的系統就拿出來賣錢了。
當然,注重這方面的公司也不少就是了,
不過這不是應該大家都要注意的嗎...
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.136.23.46
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1496778705.A.1B5.html
推
06/07 03:53, , 1F
06/07 03:53, 1F
→
06/07 03:54, , 2F
06/07 03:54, 2F
推
06/07 04:03, , 3F
06/07 04:03, 3F
→
06/07 04:03, , 4F
06/07 04:03, 4F
→
06/07 04:04, , 5F
06/07 04:04, 5F
→
06/07 04:04, , 6F
06/07 04:04, 6F
推
06/07 04:04, , 7F
06/07 04:04, 7F
上面是轉錄前的推文
→
06/07 04:12, , 8F
06/07 04:12, 8F
→
06/07 04:13, , 9F
06/07 04:13, 9F
→
06/07 04:15, , 10F
06/07 04:15, 10F
→
06/07 04:15, , 11F
06/07 04:15, 11F
→
06/07 04:18, , 12F
06/07 04:18, 12F
→
06/07 04:18, , 13F
06/07 04:18, 13F
→
06/07 04:19, , 14F
06/07 04:19, 14F
→
06/07 04:19, , 15F
06/07 04:19, 15F
※ 編輯: nakahusa (223.137.6.239), 06/07/2017 04:45:39
噓
06/07 06:04, , 16F
06/07 06:04, 16F
→
06/07 06:07, , 17F
06/07 06:07, 17F
→
06/07 06:41, , 18F
06/07 06:41, 18F
→
06/07 06:41, , 19F
06/07 06:41, 19F
→
06/07 07:50, , 20F
06/07 07:50, 20F
→
06/07 07:54, , 21F
06/07 07:54, 21F
推
06/07 09:32, , 22F
06/07 09:32, 22F
推
06/07 09:48, , 23F
06/07 09:48, 23F
推
06/07 09:55, , 24F
06/07 09:55, 24F
推
06/07 10:05, , 25F
06/07 10:05, 25F
→
06/07 10:33, , 26F
06/07 10:33, 26F
→
06/07 10:54, , 27F
06/07 10:54, 27F
測試是沒有問題的,更何況我這只是在輸入框打個「'」,
就在 enter 隔壁,一般人在按 enter 時不小心按到都有可能勒。
主要是看測試時,是不是真的有進一步的使用這個漏洞,
進而去取得個資或是入侵的動作,
國外有些白帽 Hacker 的爭議就是這樣來的,
白帽發現漏洞時會繼續進行下一步動作,
驗證漏洞是否確實存在,若確定的話還會直接指名公開。
就像前陣子 Google 發現微軟漏洞時,
會先通知微軟,限期修復,
期限到時就會直接公開也是類似的做法。
→
06/07 11:05, , 28F
06/07 11:05, 28F
→
06/07 11:07, , 29F
06/07 11:07, 29F
→
06/07 11:11, , 30F
06/07 11:11, 30F
→
06/07 12:22, , 31F
06/07 12:22, 31F
→
06/07 12:22, , 32F
06/07 12:22, 32F
推
06/07 12:24, , 33F
06/07 12:24, 33F
推
06/07 12:30, , 34F
06/07 12:30, 34F
→
06/07 12:38, , 35F
06/07 12:38, 35F
→
06/07 12:39, , 36F
06/07 12:39, 36F
→
06/07 12:39, , 37F
06/07 12:39, 37F
→
06/07 12:39, , 38F
06/07 12:39, 38F
→
06/07 13:45, , 39F
06/07 13:45, 39F
→
06/07 13:45, , 40F
06/07 13:45, 40F
※ 編輯: nakahusa (223.137.180.110), 06/07/2017 13:52:02
推
06/07 15:07, , 41F
06/07 15:07, 41F
→
06/07 16:26, , 42F
06/07 16:26, 42F
→
06/07 16:26, , 43F
06/07 16:26, 43F
→
06/07 22:46, , 44F
06/07 22:46, 44F
→
06/07 22:49, , 45F
06/07 22:49, 45F
→
06/07 22:49, , 46F
06/07 22:49, 46F
→
06/08 19:12, , 47F
06/08 19:12, 47F
→
06/08 19:13, , 48F
06/08 19:13, 48F
→
06/08 19:13, , 49F
06/08 19:13, 49F
→
06/08 19:14, , 50F
06/08 19:14, 50F
→
06/08 19:16, , 51F
06/08 19:16, 51F
→
06/08 19:17, , 52F
06/08 19:17, 52F
→
06/08 19:17, , 53F
06/08 19:17, 53F
→
06/11 03:22, , 54F
06/11 03:22, 54F
推
06/15 06:59, , 55F
06/15 06:59, 55F
→
06/15 06:59, , 56F
06/15 06:59, 56F
→
06/15 06:59, , 57F
06/15 06:59, 57F