Credit: 天兵公园
灵感来源:UCCU Hacker
不是耶,怎麽闪得那麽自然的阿
今天不用单一故事来举例,而是来分享当回报漏洞的时候大家听过最荒谬的回答
故事为创作,如以雷同那就雷同,请勿将自己代入
资安人员:你们的网页服务 eid 有 sql injection 漏洞,请修复
网页开发人员(一周後回信件):修复了
资安人员(复测): eid 只更换成 event_id,还是有 sql injection
网页开发人员:这是新漏洞喔,我们会再修复
资安人员:....
Bug bounty 猎人:(闲逛网站,从 google search hunting 找到漏洞)透过漏洞回报平台回报
被找到漏洞的厂商:你们怎麽可以找我网站漏洞,我要告你们!
被找到漏洞的厂商:你们替骇客通报我们肯定不是什麽好东西啦!
漏洞回报平台:...(无辜)
客户:我们最近网页被人回报有漏洞可以放後门,你们这些资安厂商有什麽对策吗
资安厂商:贵单位似乎目前只有买防毒
客户:阿如果我们服务器被从漏洞放後门就不会叫吗?我们买你们干嘛?
资安厂商:这种状况我们会建议修复漏洞,如果暂时不行可以先买 WAF
客户:算了算了,又要我们买设备
故事一里面的鸵鸟心态其实常见於被要求做资安的单位,上级机关会邀外部厂商做大规模测试,
而这时候最常见的就应对方式就是暂时将有漏洞的服务下架,或是将测试团队的 IP ban 掉,
只要在考试期间不要被测试道就没事了吧,这种鸵鸟心态只能躲避测试,
但躲不掉真正的骇客。
有时候会更夸张的要人家改测试结果,有高风险请厂商修改报告...
credit: 海绵宝宝
来源:UCCU Hacker
有一些单位已花钱是大爷的心态,买了一项产品但想从厂商们拿到超出产品以外的能力,
买了一个防毒软件,但却问厂商最新的 exchange 漏洞能不能防,
防毒厂商当然跟你讲能防,能防恶意程序进来之後,
承办人员跟主管回报:「防毒软件厂商说能防(只讲一半)」
防毒厂商:「...」
正确的心态应该是修补漏洞,无法修补之前应该透过上 firewall、监控 exploit 可能产生的 log等...
进行减缓或是侦测的行动,application 层的漏洞却想用 device 的 solution 去解决是不切实际的。
详细可以参考 CDM ,如果你能了解漏洞影响的资产,就能更清楚知道应该要从哪里开始保护。
https://cyberdefensematrix.com/
>>: [Day10] Flutter - 文字输入元件 ( TextField )
设定 BMO 初始化、更新要更新什麽、画出 BMO 的方法 class Bmo { constru...
手机节省行动数据的几个方法 4G 吃不饱 没有学生方案 或者是低流量限速方案吃到饱方案 只能从关掉手...
快忘记自己传教过哪些K-pop了.... Two Sum II 题目连结:https://leet...
於Realtime Database内手动建立如下图的资料, 试着使用thunkable读取, 测试...
同步分为两种类型: (1)资源同步(resource synchronization): 决定共享记...