Re: 新手剛入職就發現有SQL injection漏洞 該回報嗎

看板Soft_Job作者 (Pichu Chen)時間1年前 (2023/05/03 23:45), 編輯推噓27(270156)
留言183則, 26人參與, 1年前最新討論串2/2 (看更多)
不好意思認真回一下 簽約前和簽約後做法不一樣,簽約後會有保密義務,雖然聽起來是公開程式碼但是 簽約後你不能把這個漏洞拿去 hitcon zeroday 換好寶寶章。 簽約前你可以拿去 hitcon zeroday,或者是回報給他們老闆,然後按碼錶,看多久會修 決定要不要待。 然後更好的做法是你可以打聽看看這個程式碼有哪些客戶使用,例如某公部門、某銀行、 某上市公司,之後直接打電話進該公司的資安主管部門和他們驗證,經驗上這樣會修的比 較快。 寫出漏洞不一定是問題,因為漏洞不一定會被發掘,有可能因為沒有人力Review或是價值 過低所以存放兩年都沒發現,CVE-2014-0160 Heartbeat 漏洞就是這類型的漏洞,你要說 OpenSSL 開發者不懂資安嗎? 嗯? 所以我的建議就是直接附上 POC 然後回報給他們老闆,我遇過的案例是老闆直接轉給客 服,由客服一步一步告訴我要怎麼做,最後我是我回報給他們客戶,附上POC,然後他們 也很有誠意的當晚漏夜把漏洞修掉。 那你從這個過程就會可以側面觀察出來你接下來是不是那個負責要漏夜把漏洞修掉的人。 以及這間公司對於漏洞回報的SOP到底是什麼,有沒有制度化,還是隕石雨的正在進行式? 原則上漏洞回報到公開,通常會有大概三個月左右的時間,即使是矽谷大手公司也是這樣 你道義上不能回報後24小時馬上就把漏洞細節公開,除非他和你說「這東西不是漏洞」 那你才可以直接公開。 為什麼會有這樣空窗期?因為照正常軟體開發流程,程式碼合併之前還是要做Review以及 測試,同時要確定同類型的漏洞(git blame)有同時修掉,所以如果他馬上就修掉發新版 本,很有可能代表他們沒有Review流程以及測試流程,接不接受見仁見智。 在空窗期營運團隊也不是什麼都不做首先是第一時間的修補以及查詢,常見的做法 是將有疑慮的功能先下架再說,這部部分通常是營運團隊要做的,但是也有可能規模 過小營運=開發=Devops,所以來不及反應。這部分你可以從幾點開始你沒辦法 Query 到資料庫來知道營運團隊目前反應速度如何。 再來是通知義務 個資法第十二條規定 公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應 查明後以適當方式通知當事人。 雖然我看目前上市的PC某和現在不知道球踢到哪裡的OO部好像還不曾通知過個資洩漏事件 所以這部分如果該公司有做,說明這個企業主對於社會責任是很重視的。 只是有沒有通知這件事情如果他只做2B,應該不好觀察。 另外還有一個有趣的東西可以觀察,該公司文化會不會懲處寫出Bug的工程師。 我有聽說過有些公司會,這種千萬不要待,一點意義都沒有。 -- 此篇文章以 CC BY-SA 4.0 發表。 咖啡是一種豆漿, 茶是一種蔬菜湯。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 150.117.165.81 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1683128723.A.12E.html
05/03 23:53, 1年前 , 1F
推最後一段,bug數當績效根本笑死
05/03 23:53, 1F
05/04 00:53, 1年前 , 2F
認真回不用不好意思!
05/04 00:53, 2F
05/04 05:18, 1年前 , 3F
感謝分享
05/04 05:18, 3F
05/04 05:38, 1年前 , 4F
最後的就是程式碼亂七八糟還要求別人不寫出bug 給老
05/04 05:38, 4F
05/04 05:40, 1年前 , 5F
屁股整人用的
05/04 05:40, 5F
05/04 05:51, 1年前 , 6F
但先前不控制質量 後來才搞一堆有的沒的不是很可取
05/04 05:51, 6F
05/04 06:08, 1年前 , 7F
整到很好維護後面就可以盡量休息了 不好嗎 XD
05/04 06:08, 7F
05/04 07:26, 1年前 , 8F
回樓上 非接案性質當然好 但接案的常常一個人可能有多個
05/04 07:26, 8F
05/04 07:26, 1年前 , 9F
案子同時在run 沒有做到好就有時間休息這種事 所以才說
05/04 07:26, 9F
05/04 07:26, 1年前 , 10F
不要用自家產品的思維去看接案
05/04 07:26, 10F
05/04 08:38, 1年前 , 11F
非接案性質也是會同時跑多個案子...
05/04 08:38, 11F
05/04 09:03, 1年前 , 12F
推 感謝大大分享
05/04 09:03, 12F
05/04 09:41, 1年前 , 13F
我很怕tgyhuj01這種觀念的人當上RD大主管,恐怖,到處埋
05/04 09:41, 13F
05/04 09:42, 1年前 , 14F
雷然後推給沒時間
05/04 09:42, 14F
05/04 09:43, 1年前 , 15F
接案公司有接案公司維持品質的方法,而不是埋雷給他爛
05/04 09:43, 15F
05/04 09:44, 1年前 , 16F
不同位置環境不同做法 這麼不會變通嗎
05/04 09:44, 16F
05/04 09:45, 1年前 , 17F
你的變通就是放爛品質?
05/04 09:45, 17F
05/04 09:45, 1年前 , 18F
希望你真的是不管什麼環境都始終如一 而不是說得漂亮
05/04 09:45, 18F
05/04 09:46, 1年前 , 19F
說漂亮話大家都會 現實能做到才是真的
05/04 09:46, 19F
05/04 09:48, 1年前 , 20F
你不認識我所以認為我只是說說那也合理.但業界上不只是
05/04 09:48, 20F
05/04 09:48, 1年前 , 21F
說而是真的做得到的大有人在只是你不認識而已,ptt強人
05/04 09:48, 21F
05/04 09:48, 1年前 , 22F
很多,你是不是先檢討自己一下
05/04 09:48, 22F
05/04 09:49, 1年前 , 23F
這種東西需要強人才能做到嗎? 我已經說了環境和位置不同
05/04 09:49, 23F
05/04 09:49, 1年前 , 24F
沒認識那些做得到的人就以為現實上做不到,笑死
05/04 09:49, 24F
05/04 09:50, 1年前 , 25F
很難理解嗎 說現實一點就是沒錢還要求品質 慈善事業嗎
05/04 09:50, 25F
05/04 09:50, 1年前 , 26F
環境咧,位置咧,不就是沒能力的藉口而已
05/04 09:50, 26F
05/04 09:51, 1年前 , 27F
對 像你說的都做得到 所以現實上一堆爛系統都是哪來的
05/04 09:51, 27F
05/04 09:51, 1年前 , 28F
麻煩你趕快去改善 不要在這裡用說的
05/04 09:51, 28F
05/04 09:51, 1年前 , 29F
你們這些找藉口的RD來的啊
05/04 09:51, 29F
05/04 09:52, 1年前 , 30F
不做就等於沒能力 你的理解真狹隘
05/04 09:52, 30F
05/04 09:52, 1年前 , 31F
希望你做事真的如你所說 隨時全力以赴
05/04 09:52, 31F
05/04 09:52, 1年前 , 32F
不是只有在嘴巴上全力以赴
05/04 09:52, 32F
05/04 09:58, 1年前 , 33F
先是找一堆藉口,然後再攻擊別人耍嘴皮,還有什麼招?
05/04 09:58, 33F
05/04 10:00, 1年前 , 34F
好啦 你是大聖人 我都是找藉口 你很強很認真 心口如一
05/04 10:00, 34F
05/04 10:02, 1年前 , 35F
動不動就先質疑人家沒能力的 再說別人攻擊你 人性如此
05/04 10:02, 35F
05/04 10:04, 1年前 , 36F
說的好像自己真的每個案子不管條件如何都做得很完善一樣
05/04 10:04, 36F
05/04 10:06, 1年前 , 37F
先不說重構的成本,你舊的 code 有動到就需要跑一次 te
05/04 10:06, 37F
05/04 10:06, 1年前 , 38F
st 了
05/04 10:06, 38F
05/04 10:06, 1年前 , 39F
有在做 CI/CD 要改當然是沒問題,沒有的情況就不只你一
05/04 10:06, 39F
還有 104 則推文
05/04 18:19, 1年前 , 144F
怕這個其實都可以藏步 而不是公司的藏起來
05/04 18:19, 144F
05/04 18:21, 1年前 , 145F
後面的處理起來感覺在跑500障礙賽
05/04 18:21, 145F
05/04 18:27, 1年前 , 146F
怕程式碼洩露 其實kiss分割術git上權限就好
05/04 18:27, 146F
05/04 18:28, 1年前 , 147F
看新聞外洩的也都是高層的多
05/04 18:28, 147F
05/04 18:39, 1年前 , 148F
kiss還有個好處是爛一個都不至於全爛
05/04 18:39, 148F
05/04 18:56, 1年前 , 149F
不是 kiss,你在說的應該是 ACID
05/04 18:56, 149F
05/04 19:01, 1年前 , 150F
kiss就是一個程式只做一件事 我查了一下acid其實差
05/04 19:01, 150F
05/04 19:02, 1年前 , 151F
不多 我是類unix系統信徒 所以只認識kiss
05/04 19:02, 151F
05/04 19:13, 1年前 , 152F
…你說了才去查意思嗎?ACID和KISS完全不一樣
05/04 19:13, 152F
05/04 19:19, 1年前 , 153F
應用起來達到的效果就是差不多 不摳字眼
05/04 19:19, 153F
05/04 19:26, 1年前 , 154F
反正他是鄙視自己公司吧
05/04 19:26, 154F
05/04 19:27, 1年前 , 155F
大概沒多久就離職了
05/04 19:27, 155F
05/04 19:42, 1年前 , 156F
樓上 ??????????????????
05/04 19:42, 156F
05/04 19:48, 1年前 , 157F
原po的話 還是有考慮回報
05/04 19:48, 157F
05/04 21:07, 1年前 , 158F
KISS和ACID完全不一樣…
05/04 21:07, 158F
05/04 21:08, 1年前 , 159F
各家RDS為了ACID做了不知道多少複雜的設計以應對各種
05/04 21:08, 159F
05/04 21:08, 1年前 , 160F
極端狀況
05/04 21:08, 160F
05/04 21:31, 1年前 , 161F
那也只是延伸 kiss只是個原則 怎麼做並沒有詳細說
05/04 21:31, 161F
05/04 21:34, 1年前 , 162F
acid主要也是針對資料庫 但我都想脫離db
05/04 21:34, 162F
05/04 21:41, 1年前 , 163F
我想要的也都是切開的
05/04 21:41, 163F
05/04 23:35, 1年前 , 164F
這哪有什麼好吵的,就有些甲方付不起整套所以資安被當可
05/04 23:35, 164F
05/04 23:35, 1年前 , 165F
選項目啊,啊這篇不就同時也提到了有些漏洞的確是沒價值
05/04 23:35, 165F
05/04 23:35, 1年前 , 166F
的所有要說是選配還真的是。不過我也同意隨著你公司應付
05/04 23:35, 166F
05/04 23:35, 1年前 , 167F
的甲方越來越有規模越有價值資安也越來越不再可以選配所
05/04 23:35, 167F
05/04 23:35, 1年前 , 168F
以某種程度所在的公司的吸金能力跟公司有沒有把資安當基
05/04 23:35, 168F
05/04 23:35, 1年前 , 169F
本需求是正相關的。至於待的公司的吸金能力跟程式設計師
05/04 23:35, 169F
05/04 23:35, 1年前 , 170F
的能力是不是正相關則是戰到爛了板上很多其他討論
05/04 23:35, 170F
05/04 23:55, 1年前 , 171F
Keep It Simple And Stupid.(讓它簡單些,連笨蛋都看
05/04 23:55, 171F
05/04 23:55, 1年前 , 172F
得懂)
05/04 23:55, 172F
05/04 23:55, 1年前 , 173F
kiss 不大像你解釋的那樣。我舉的例子也不大好,最符合
05/04 23:55, 173F
05/04 23:55, 1年前 , 174F
你要說的應該是SOLID
05/04 23:55, 174F
05/05 01:35, 1年前 , 175F
所以如何簡單 什麼叫作簡單 你單一自然會切割功能出
05/05 01:35, 175F
05/05 01:38, 1年前 , 176F
來 切割完怎麼協作 都是需要思考的 形容的話我會形容
05/05 01:38, 176F
05/05 01:40, 1年前 , 177F
萬劍歸宗 很多專業就是這樣 發現一個東西額外命名它
05/05 01:40, 177F
05/05 01:41, 1年前 , 178F
但是精華知識只有少少
05/05 01:41, 178F
05/05 01:46, 1年前 , 179F
如果你應用並貫徹這個原則 你會得到差不多的東西
05/05 01:46, 179F
05/05 01:58, 1年前 , 180F
再說一次 kiss只是個原則
05/05 01:58, 180F
05/05 02:45, 1年前 , 181F
你應該想怎麼換更好的公司,這些公司比較在意這些漏洞問題
05/05 02:45, 181F
05/05 03:05, 1年前 , 182F
回想起來acid是有看過 之前忘記 現在越看越覺得鷄肋
05/05 03:05, 182F
05/05 03:07, 1年前 , 183F
solid都是 果然大道至簡 只是以前還沒體會到
05/05 03:07, 183F
更多 pichubaby 的文章
文章代碼(AID): #1aKe6J4k (Soft_Job)
更多 pichubaby 的文章
文章代碼(AID): #1aKe6J4k (Soft_Job)