鬼故事 - 不修拉，这辈子都不可能修的

Credit: 天兵公园
灵感来源：UCCU Hacker

不是耶，怎麽闪得那麽自然的阿

故事开始

今天不用单一故事来举例，而是来分享当回报漏洞的时候大家听过最荒谬的回答
故事为创作，如以雷同那就雷同，请勿将自己代入

故事一：修了，但这是新漏洞

资安人员：你们的网页服务 eid 有 sql injection 漏洞，请修复
网页开发人员（一周後回信件）：修复了
资安人员（复测）： eid 只更换成 event_id，还是有 sql injection
网页开发人员：这是新漏洞喔，我们会再修复
资安人员：....

故事二：你怎麽可以测我网站，我要告你

Bug bounty 猎人：（闲逛网站，从 google search hunting 找到漏洞）透过漏洞回报平台回报
被找到漏洞的厂商：你们怎麽可以找我网站漏洞，我要告你们！
被找到漏洞的厂商：你们替骇客通报我们肯定不是什麽好东西啦！
漏洞回报平台：...(无辜)

故事三：我们有买你们家产品耶

客户：我们最近网页被人回报有漏洞可以放後门，你们这些资安厂商有什麽对策吗
资安厂商：贵单位似乎目前只有买防毒
客户：阿如果我们服务器被从漏洞放後门就不会叫吗？我们买你们干嘛？
资安厂商：这种状况我们会建议修复漏洞，如果暂时不行可以先买 WAF
客户：算了算了，又要我们买设备

资安探讨

鸵鸟心态

故事一里面的鸵鸟心态其实常见於被要求做资安的单位，上级机关会邀外部厂商做大规模测试，
而这时候最常见的就应对方式就是暂时将有漏洞的服务下架，或是将测试团队的 IP ban 掉，
只要在考试期间不要被测试道就没事了吧，这种鸵鸟心态只能躲避测试，
但躲不掉真正的骇客。

有时候会更夸张的要人家改测试结果，有高风险请厂商修改报告...

credit: 海绵宝宝
来源：UCCU Hacker

想靠厂商做完所有事情

有一些单位已花钱是大爷的心态，买了一项产品但想从厂商们拿到超出产品以外的能力，
买了一个防毒软件，但却问厂商最新的 exchange 漏洞能不能防，
防毒厂商当然跟你讲能防，能防恶意程序进来之後，
承办人员跟主管回报：「防毒软件厂商说能防（只讲一半）」
防毒厂商：「...」

正确的心态应该是修补漏洞，无法修补之前应该透过上 firewall、监控 exploit 可能产生的 log等...
进行减缓或是侦测的行动，application 层的漏洞却想用 device 的 solution 去解决是不切实际的。
详细可以参考 CDM ，如果你能了解漏洞影响的资产，就能更清楚知道应该要从哪里开始保护。

https://cyberdefensematrix.com/