楼主:
joetsai (路人酒菜)
2016-03-06 13:10:57或许是我太孤陋寡闻 昨天跟朋友闲聊才知道这地方
http://www.wooyun.org/
里面看到很多台湾的网站有 SQL Injection 的问题
小弟想说这不是很常见的资安常识吗!?
根据我工作的经验 可以归纳出原因整理如下
1. Legacy System
2. 便宜行事 组 SQL 字串比较直觉 也没有验证资料
3. 对 Framework 不熟 误用
4. 资安常识不足
不知道版上的各位强者大大们 怎么看这件事情
谢谢
作者:
y3k (激流を制するは静水)
2016-03-06 13:15:00我觉得2最多XD
作者:
SkyPlus (Sky)
2016-03-06 13:21:00PM: SQL 查询改几个字就好了吧, 下班前记得 commit
作者:
testPtt (测试)
2016-03-06 13:30:00发案人没要求阿 $_$
作者:
now99 (陈在天)
2016-03-06 13:55:00没有漏洞扫描的检核机制吧
作者:
duckfly (Java ass)
2016-03-06 14:03:00大部份台商只会用低薪聘猴子,做出来的品质能好到哪
作者:
bobju (枯藤老树昏鸦)
2016-03-06 14:33:00就赶着上线, 该做的安全测试都没做
作者:
pooznn (我~~~是来被打脸滴!!!)
2016-03-06 14:35:00刚出校门的 几个会去注意资安问题 程式能动能交差就好
除非自己组sql,不然很多framework都帮你做掉了吧
作者:
yyc1217 (somo)
2016-03-06 14:45:00资安的概念应该和if then或for loop一起教
会发生的原因最主要应该是该单位主管没有sense然后公司条件差 只能找刚毕业的..这种问题就很容易发生
作者:
bndan (seed)
2016-03-07 00:46:00个人看法比较负面.3和4才是主因...与其说是训练的问题 不如说这是业界不够成熟就能赚钱的问题(赚钱门槛太低 = =|||)应该说 "在技术上"的赚钱门槛远不及其他项目...
你觉得领22K 28K的需要搞资安吗应该说 你真的以为台湾公司有QA吗...
作者:
atpx (秋雨的心情)
2016-03-07 09:09:00时程与成本问题....顾客就是这么快要你没交差就是违约
作者: MonyemLi (life) 2016-03-07 11:16:00
专案的目标就是验收.压榨久了,能动就是好code.
作者:
Masakiad (Masaki)
2016-03-07 18:34:00没sense的老一辈主管还真不少,尤其接案公司速度功能导向,没把资安部分放验收条件。