Re: [心得] 如何駭入 Apple, MS 等大公司? (轉)

作者: lance70176 (十三夜)   2021-04-07 15:47:36
簡單說只要使用外部的套件 都需要注意
以我自己經驗來說
早期剛開始 FB 出來的時候
YAHOO 也是直接用他們的 JS 登入
後來開始注重安全升級以後 就會強調不可直接引用
必須複製確認 不行的話寧可不用
或是要做特別審核給資安部門
然後遇過比較小心的公司
所有的套件不只不能在線上安裝 都必須RD交由其他單位審核
他們會裝在一個環境做監測 確定一段時間都沒問題 才由獨立部門把套件上傳
才可以發佈到正式環境
現在開源很方便 很多工程師都直接使用套件
有的人只注意到使用的版本號做固定, 但是沒有往下追
可能還有套件安裝的其他套件當基底也會出問題
都是要注意的地方 如果真的要萬無一失 就是這些套件都要 FORK 一份自己公司專用
現在有很多方式可以實現 甚至內建功能都有幫忙注意到
最早 YAHOO 很多套件都像是把別人拿進來 然後改一改加上一個 Y 開頭
保證安全... 然後還要過法務部門審核是否可用
之前發生過很多次有人把 CHROME PLUGIN 買下來後
放了惡意的 CODE 進去
只要用外部的都有風險 所以有些廠商還是會自己開發很難用的功能就是...
我曾經接過一個案子 裡面引用了我自己開發的外部JS
老闆要是不付錢 我就把 JS 關掉, 網站就掛掉...
黑心一點的大概就直接把資料偷走了...
所以資安最大的問題還是人...
當然如果沒什麼機密資料的話 就不用擔心太多了
一般跟錢有關的案子才需要多注意
作者: rotalume (rotalume)   2021-04-07 16:09:00
作者: brianhsu (墳墓)   2021-04-07 18:30:00
上面那個我也還有印象 XD
作者: weinine32 (隨意)   2021-04-07 19:11:00
JS已經裝在客戶的主機,你要怎麼關?
作者: onlyeric23 (MiGG)   2021-04-07 20:52:00
ping不到某處就不執行功能
作者: BoXeX (心愛騎士團異端審判騎士)   2021-04-08 14:42:00
client每次連網站都會載js 其中一包在他自己網站上這在前端很常見吧 只是通常不會用自己的網站就是了
作者: viper9709 (阿達)   2021-04-08 23:50:00
推樓上
作者: a12838910 (Ziv.C)   2021-04-09 08:09:00
看完一樓分享的文left pad之亂 有感
作者: asdfghjklasd (好累的大一生活)   2021-04-09 18:40:00
客戶是需要被教育的或者是老闆或者是主管

Links booklink

Contact Us: admin [ a t ] ucptt.com