Re: [心得] 如何骇入 Apple, MS 等大公司? (转)

楼主: lance70176 (十三夜)   2021-04-07 15:47:36
简单说只要使用外部的套件 都需要注意
以我自己经验来说
早期刚开始 FB 出来的时候
YAHOO 也是直接用他们的 JS 登入
后来开始注重安全升级以后 就会强调不可直接引用
必须复制确认 不行的话宁可不用
或是要做特别审核给资安部门
然后遇过比较小心的公司
所有的套件不只不能在线上安装 都必须RD交由其他单位审核
他们会装在一个环境做监测 确定一段时间都没问题 才由独立部门把套件上传
才可以发布到正式环境
现在开源很方便 很多工程师都直接使用套件
有的人只注意到使用的版本号做固定, 但是没有往下追
可能还有套件安装的其他套件当基底也会出问题
都是要注意的地方 如果真的要万无一失 就是这些套件都要 FORK 一份自己公司专用
现在有很多方式可以实现 甚至内建功能都有帮忙注意到
最早 YAHOO 很多套件都像是把别人拿进来 然后改一改加上一个 Y 开头
保证安全... 然后还要过法务部门审核是否可用
之前发生过很多次有人把 CHROME PLUGIN 买下来后
放了恶意的 CODE 进去
只要用外部的都有风险 所以有些厂商还是会自己开发很难用的功能就是...
我曾经接过一个案子 里面引用了我自己开发的外部JS
老板要是不付钱 我就把 JS 关掉, 网站就挂掉...
黑心一点的大概就直接把资料偷走了...
所以资安最大的问题还是人...
当然如果没什么机密资料的话 就不用担心太多了
一般跟钱有关的案子才需要多注意
作者: rotalume (rotalume)   2021-04-07 16:09:00
作者: brianhsu (坟墓)   2021-04-07 18:30:00
上面那个我也还有印象 XD
作者: weinine32 (随意)   2021-04-07 19:11:00
JS已经装在客户的主机,你要怎么关?
作者: onlyeric23 (MiGG)   2021-04-07 20:52:00
ping不到某处就不执行功能
作者: BoXeX (心爱骑士团异端审判骑士)   2021-04-08 14:42:00
client每次连网站都会载js 其中一包在他自己网站上这在前端很常见吧 只是通常不会用自己的网站就是了
作者: viper9709 (阿达)   2021-04-08 23:50:00
推楼上
作者: a12838910 (Ziv.C)   2021-04-09 08:09:00
看完一楼分享的文left pad之乱 有感
作者: asdfghjklasd (好累的大一生活)   2021-04-09 18:40:00
客户是需要被教育的或者是老板或者是主管

Links booklink

Contact Us: admin [ a t ] ucptt.com