http://i.imgur.com/NpicdAz.jpg
http://i.imgur.com/EUgYxKn.jpg
蠻屌的
直接整個錯誤訊息string吐回去給前端
吐給前端連資料內容判斷都不做直接吐回去
號稱資安最重要的金融業搞這樣
真的蠻屌的

我高中同學兄弟倆愛吃麥當勞常跑去偷吃 他爸有次生氣

就射了

了說愛吃就讓你們吃個夠 然後連續兩個禮拜晚餐都吃麥

克阿瑟為子祈禱文

我同學還是吃得很開心然後他爸先崩潰了

這個都中台而已啦 不用怕真正的核心老到連錯誤訊息都沒有的

複委託掛不知道是不是一樣的原因

某家銀行核心系統有CVE9.8的漏洞 執行長蓋章上線 不怕

又 又 又是國泰

https://tinyurl.com/29cwkhc6 win3.1用過沒？別人有心挖洞 全台灣應該會雞飛狗跳他們只是不挖而已 選在關鍵的時候才挖你看今天道瓊波動超過1100點然後那個說法又剛好過了如果你們還了解這些故事背後的故事你們就會覺得一切都很合理https://tinyurl.com/26vgrym5https://tinyurl.com/276pt7nb 不要看不起他要看看他後面誰在罩

重點是會吐這麼詳細的訊息，該不會跑 debug mode 吧

https://tinyurl.com/2cyngmnb 越南？

駭客表示欣慰...

更新的目的其實只是為了讓他掌握你系統漏洞是他可以用的

opt存db? 有沒有實作範例

銀行真的笑爛

銀行IT或乙方開發就屎中之屎能不去就不要去，風氣就是根本沒在想解決問題的

一樓好好笑

catch exception 直接印出來

靠腰XD 這種錯誤都是寫到Log內 怎麼往前端丟

還好吧 又沒有敏感資訊 你看到又能怎樣？

Oyodokai 笑死==

確實沒敏感資訊 不過現在大家都知道他們用MS SQL Server了(?

銀行用MS SQL Server是秘密嗎？

不是 我在講幹話

也許它篩選過了 storage這種就是沒資安問題的message(?

笑死，完全沒有資安觀念，一點點都沒有，還秀訊息...

這種掃白箱算低風險吧 我猜他們報告中高太多 所以低的先不改了不過現在被網友抓包 大概傳到他主管那他還是得改XD

超好笑

我昨天想說...帳戶怎麼了咧

這用一個最簡單的string length or key word filter就可以濾掉了 這都不做是多懶

做了對考績有幫助嗎？萬一加上去系統壞掉怎麼辦？ 我的考績很重要耶等到出問題再修好它不就可以提升考績

Ex 本來就抓bug訊息用的

複委託也是出包

笑死，每次回臺灣在 reddit 查臺灣銀行 ATM 之類的資訊得到的評論都是 the most backwards banking system ever seen on earth

這件事要講，說上面鬼話的人，根本沒待過歐美。

我的 Wise 帳號到現在還是不能存臺幣，國泰今年四月甚至直接禁 Wise每次要幹嘛都要去便利商店 ATM，明明手機 app 30 秒就可以完成的事變成一定要出門而且回來第一個月就遇到兩次便利商店 ATM 系統壞掉/維修光這些我就完全不會想再用臺灣銀行了

台灣的任何銀行都要小心自己錢會不會變少。前陣子，發現台銀亂扣我帳戶股款，重複扣錢。還要人主動發現，打電話才退。還修了幾個小時，有夠弱。台灣的銀行業，都是靠備份來保障資料安全的，出了事情就還原，完全沒品質與信賴可言。

台灣根本不適合住人==

台灣不是不適合人住，是這邊被人搞到覺得不適合人住

63 F滑坡太多了吧國泰的問題也扯這麼遠。雖說國泰不意外

沒有監控容量也太沒規範了吧

看到錯誤訊息笑出來 XD

這不算什麼資安問題 就是服務暫時不可用我也很喜歡這麼做 第一db就那幾種 也沒詳細到版本第二曝露出來的訊息多半使用者已知 沒注入問題是還好更嚴重的是server在回傳的時候跟客戶端說自己是用什麼技術寫的 還不少框架和技術會這麼做這種db錯誤多半也都是runtime error 方便除錯多半曝露出來的少少資訊也就容易開發時就沒了 db 也不會傻到曝露很隱私的資訊mssql倒是沒用過 應該不會這麼傻

別扯一堆 這訊息就是印到log client或web只顯示不可用方便不是給你隨便的理由 這種就手機開發前後端沒切乾淨

然後呢？ 資安問題？ 首先我並與國泰沒有任何關係實話實說就是這個問題不痛不癢對於資安來講是這樣 當然只回傳錯誤是可以但我不覺得這訊息可以上升到資安級別有問題的資安問題太多了 而且一般人還不知道

這錯誤訊息有點猛XD

那就麻煩web仔寫一篇能堵住的來給菜雞們上一課吧！資安人員應該不會因爲這點失業要管的東西太多了又不是只有web

看起來還好啦 我覺得容量爆了比較誇張 啊不就還好今天炸的是minor db

線上debug

確實不算什麼資安問題 就是給使用者看到這串看不懂的體驗不好而已

怎可能不算資安問題？Hacker能得到更多資訊，真要規劃攻擊，得到這些原始錯誤訊息只有好沒有壞吧？

資安檢查這種絕對不會過 因為我就遇過 還被拉去上課樓上說的沒錯 讓駭客知道愈多愈危險 我公司之前就被駭過然後請palo alto network當顧問檢查 就被糾正過這個問題還有連web server的種類和版本都不該顯示給使用者知道

我蠻驚訝居然蠻多人覺得這沒關係

懂得講一句就懂 不懂的理由一大堆有些覺得腫臉充胖子比學新知識重要 反正不共事管他去死

驚訝很多人覺得不是資安問題+1

資安有比考績重要嗎？

這種公司資安不是第一嗎...平常一堆流程文件幹啥的？金管會這時又裝死了？

CVE9.8執行長都可以蓋章惹 不要這麼怕 Team 銀行

open source

堵住了當然有失業可能 因為現在web大行其道 web系統是一狗票 真非web的東西門檻也高那些說可以攻擊的倒是攻攻看 真要攻進去server本來就有資安問題了 不用到db端alan是不是不懂我在講什麼 真的很好笑 很多自詡懂資安的都還在概念上打轉駭客知道訊息越多越好那是指關鍵訊息 說真的你server都被攻破了後面是什麼db重要嗎db會提供自己在區網哪個host哪個port希望駭客找其它洞進入針對它嗎 haha

好！ 大家不要吵架 :O

說真的不懂機制不懂運作說懂資安都是假的 還共事...改天有時間寫個server請alan或他的親朋好友攻攻看好

歐買尬爹斯 這也可以吵成這樣

確實捏 但某些單位的評估會認為那些也有風險捏

了 一樣曝露db錯誤訊息

有些事不是工程師們說ok 上面就說ok :O好希望超級熊貓大大可以去制定iso標準...

有些資安人員自己都不懂rd和運維技術跟著喊

其實講那麼多 銀行端還不用以資安名義來說 用營運資訊外洩（資料表名稱）就有得把相關承辦人員叫去唸了...雖然這廣義上來說也是資安問題就是 哈

這與iso有什麼關係？要無限上綱曝露一點什麼都是可以的 但更像是鬥爭

ISO 27K吧 27001/27002算基本27014跟金融業有關如果公司有認真做的話 照上面ISO標準驗是不會過沒錯 前提是要認真做...

那就是管理規範而不是技術規範

竟會問這與iso有什麼關係..在下有點失望了 超熊大大

對是管理規範 但技術人員也要參考這些管理規範做事 所以有時候技術人員知道那可能沒什麼 但在管理方面還是要遵守

我確實不懂管理 不用失望什麼

沒事的 超級熊貓大 你的一些觀念在下還是敬佩的

我只要確保技術上給我管理一台機器沒人可以攻破即可

錯誤訊息不能直接印給前端是很基本的吧又不是在開發環境.. 不懂有啥好爭的

全部都你自己來你可以只顯示通常錯誤 但現實環境很複雜的 過往相關銀行的行事風格在本版已經講很多什麼都要不到情況是很恐怖的 給我選我都選曝露

笑死居然會問和iso 有什麼關係

原來問問都不行？ 還要腥腥作態裝客氣樓上就接受?

不是不行，只是你推文的態度感覺很熟這塊，但資安最基本的的 iso 27k 你卻又突然不熟悉了，有點神奇。

人家超熊大大只是熟`技術規範`的 :(

我沒說我懂iso管理規範繁文縟節我只是懂技術 我知道怎麼做的近乎滴水不漏而已

ISO 27001 雖說是公司資安常導入的控制點檢核/ISMS機制但實務上 application 層/ 治理層的安全規範，本來就是不同的專業內容...就跟會 iso 27001 的檢核規範，跟能打紅隊是完全不一樣的事情一樣。

笑死

別傻了不可能滴水不漏 如果真的那麼強的話你早就在ciahttps://tinyurl.com/24qtxb8u世界上多得是你看都沒看過的漏洞

先不講這些資料到底有沒有用 光後端往前端丟資料不檢查 前端也不檢查後端丟過來的資料內容直接show出來 稽核誰給過

https://tinyurl.com/26vgrym5 關鍵時候漏洞才會發揮作用https://tinyurl.com/22ne7t6r 一網打盡https://tinyurl.com/276pt7nb 要宣揚國威的時候就摔https://tinyurl.com/22pumood 真的不要覺得你是固若金湯https://tinyurl.com/2blc4u9l 從一開始就有問題

湯尼Q大大說的真好！在下只是剛好兩邊都略懂而已:Q

沒啥，只要錢不會被偷轉走，都是小事啦。

笑死

"近乎"滴水不漏 很難理解嗎？ 首先應用如果都是自己寫的 防範下能出問題的就是底層設施 底層如果你又在套一些安全措施 如果有問題那差不多是系統層面有問題如果你不放在同個藍子裡那麼這個可能性又在被削弱能又再突破的那差不多是國家級在針對你基本上第一層能做好就差不多擋全部 我只相信我自己所以第一層肯定有好 外加知道哪些是很可能有問題的技術 避開即可免於很多麻煩哪些是垃圾技術都需要研究的CVE搜一搜哪些老是在出問題的就可以排除很多了系統真的自帶很多垃圾 什麼systemd pkexec都是

看來樓上很適合加入銀行IT 讚讚

3以上只是成本最低的方法我不想加入也沒機會加入

資安就是你行你上喇 哈哈哈

cve給你考古用的 這是地板不是天花板 還沒有實戰之前嘴防部都是所謂近乎滴水不漏https://tinyurl.com/28wesyeb 不堪一擊

聽起來滿猛的...

https://shorturl.at/PdvRT 歷史被洗光只有老人才知道的史料https://tinyurl.com/28edqqvm 假設你從100年後回頭看現在可能就是這種感覺

所以我才說成本最低 然後拿政府代表所有人真的太好笑了 政府資安本來就是紙糊的當然你貼的可以說明有特權可以突破政府的措施特權用戶在電子系統層面都是致命的win2003 haha 用這種東西就是把命交給別人

你可能還是不懂任何別人無法破解的東西不可能到你手上水清則無魚亙古名言破解不一定是找到編碼上的漏洞https://tinyurl.com/ydcapg9bhttps://tinyurl.com/2d8xzww5

讓人無法破解是靠自己 若非如此就是授人以柄大佬也不會閒的沒事管你資安

樹大招風才會惹議 小卡拉米沒人管 看來大樹用戶吸不少滿成功

「最近常傳飛機飛來飛去，其實都是假的，今天只要金融系統被打趴，交易提款歸零，電話不通，錢匯不出來，匯不進去，成本又低又簡單，馬上（台灣）就打趴了。」日航證實遭到網攻 國內外航班恐受影響

要趴ddos都可趴 這又不得不說這其實也是廠商的陰謀

樓上的點餐機出現摩斯馬桶真的好笑！IT應該很慘！XD

https://tinyurl.com/28mvsrow 怎麼感覺問題不小https://tinyurl.com/23tllkxe 收網了

可以挖到別人帳號密碼嗎？