温馨鬼故事 - 网购我的爱，我的个资跟着订单出去了

Credit: Drake

故事开始

以下故事纯属虚构，如有雷同那就雷同
今天不是鬼故事比较温馨，因为厂商有认真修改。

故事又是发生小红还是学生的时候，
小红当时的伴侣（小粉）很喜欢买衣服+网购，甚至在毕业的时候进入知名电商工作，
小红当时还是学生但小粉已经出去工作了，当小粉下班时小粉就跟他抱怨，
小粉：「最近公司常常被抱怨个资外泄，客服部门电话都被打爆了」
小红：「是喔！是不是甚麽物流那边外泄了之类的阿」
小粉：「不晓得耶，听说他们有先检查合作厂商」
小红：「对了，你不是要买衣服吗？这次交给我下单吧」
小粉：「好喔，你是不是要做甚麽奇怪的事！」
小红（稍微戳了一下购物系统）
小红：「ㄟ，我找到几个漏洞，秀给你看」(打开 burpsuite)
小粉：「真的耶！好夸张，我明天跟工程师讲一下」

时间来到了隔天下午，小粉表示工程师想要找小红询问漏洞，
工程师Ａ：「谢谢你帮我们找到漏洞！但我们想要了解一下怎麽重现」
小红：「我自己是做了一些测试，但都是自己写的程序」
小红：「不过我可以推荐你工具能够满足 9 成，这个漏洞或是之後要找漏洞的时可以用到」
工程师Ａ：「真的吗！太感谢了，其实我们也很苦恼这方面」
小红：「不过先来讲讲这次漏洞吧，我寄信给你怎麽重现」
以下交流过程十分顺利，工程师Ａ也十分认真的了解漏洞，
并且也听从小红建议去做一些程序码检测等事情。

或许读者会觉得这是小型商家吧，但故事中小红测试的企业，
在他们的时空是打开电视就能看到的企业。

资安探讨

故事中的沟通是一个优良范例，企业很正面的去解决资安问题，
并且也愿意去花资源、人力去了解。

小红其实当初挖到的问题其实并不复杂，
如果多一些 code review 并在开发周期内加入一些程序码检测，
就有机会避免小红挖到的那些漏洞。

企业常常是 IT 兼开发兼资安人员，自己的服务自己修，
但他们并没有受过正统资安训练，甚至没人教他们该如何写一个安全的 code，
如果说想要从新学起，笔者不推荐从打造轮子开始，打造轮子太累了，
应该善用别人造好的轮子配上系统学习来的知识(引擎)，你也能开出法拉利的速度，
不然只有轮子不知道怎麽开，就只是个手推车而已。

网页渗透里面有什麽轮子是必接触的？我会说是 PortSwigger 公司开发的 Burp Suite，
如果你跟故事中的工程师A 一样，对於网页安全可能不太熟悉或是想要开始接触渗透测试的新手，
我会推荐各位买 HackerCat 出的『WebSecurity 网站渗透测试：Burp Suite 完全学习指南』
你是初入资安的新手或是想要理解 Burp Suite 完整功能的工程师，我会建议你购买这本书作为你的学习旅程开端。

预购／购买连结：
https://www.tenlong.com.tw/products/9789864348831