※ 引述《xampp (xampp)》之铭言:
: ※ 引述《Shumix ( )》之铭言:
: : 中视新闻 https://www.youtube.com/watch?v=iz-7BgwAjTw
: : 发布日期:2014年7月11日
: : 国内最大的人力银行业者104,号称有500万会员,结果现在有人发现,
: : 只要用特定的网络浏览器,下载了免费的APP,只要30秒钟,就能取得别人
: : 个资,不管是照片,电话或学经历全都漏,这么可怕的资安漏洞,104坦承
: : 有缺失,投诉人写信告知问题,经过4天,104才有改善
: 其实104有这个漏洞我感到蛮意外的
: 因为我以为是104登入的时候没有吃到加密连线被人投诉了
: 每次登入打密码的时候 我都很剉
: 因为浏览器都会告诉我 104看起来有用加密连线
: 但是送出帐密的时候是没有加密的 所以其他人还是可以截取我送出的帐号密码
: 结果没想到原来还有更大条的漏洞
104获颁 ISO 27001 资讯安全管理系统认证
http://www.104.com.tw/media/life_content.cfm?id=94706067899061219
104资安专案委由勤业众信联合会计师事务所担任管理顾问,于专案启动后,展开五个阶
段作业,先进行资安体系评估(例如现况诊断及差异分析)、再进行风险辨识(包括主机
查核、弱点扫描、渗透测试的技术性查核),建置资安体系之后(例如确认资安管理文件
清单、撰写修改文件)、必须全面落实与稽核资安管理制度、最后进入资安认证准备,前后
历时九个月,全集团各单位与员工共同参与。
明明经过了弱点扫描、渗透测试,怎么可能有这种情况,
有没有渗透测试经验的人可以分享,
到底类似的国际验证的渗透测试是玩真的还是假的啊?