http://i.imgur.com/NpicdAz.jpg
http://i.imgur.com/EUgYxKn.jpg
蛮屌的
直接整个错误讯息string吐回去给前端
吐给前端连资料内容判断都不做直接吐回去
号称资安最重要的金融业搞这样
真的蛮屌的

我高中同学兄弟俩爱吃麦当劳常跑去偷吃 他爸有次生气

就射了

了说爱吃就让你们吃个够 然后连续两个礼拜晚餐都吃麦

克阿瑟为子祈祷文

我同学还是吃得很开心然后他爸先崩溃了

这个都中台而已啦 不用怕真正的核心老到连错误讯息都没有的

复委托挂不知道是不是一样的原因

某家银行核心系统有CVE9.8的漏洞 执行长盖章上线 不怕

又 又 又是国泰

https://tinyurl.com/29cwkhc6 win3.1用过没？别人有心挖洞 全台湾应该会鸡飞狗跳他们只是不挖而已 选在关键的时候才挖你看今天道琼波动超过1100点然后那个说法又刚好过了如果你们还了解这些故事背后的故事你们就会觉得一切都很合理https://tinyurl.com/26vgrym5https://tinyurl.com/276pt7nb 不要看不起他要看看他后面谁在罩

重点是会吐这么详细的讯息，该不会跑 debug mode 吧

https://tinyurl.com/2cyngmnb 越南？

骇客表示欣慰...

更新的目的其实只是为了让他掌握你系统漏洞是他可以用的

opt存db? 有没有实作范例

银行真的笑烂

银行IT或乙方开发就屎中之屎能不去就不要去，风气就是根本没在想解决问题的

一楼好好笑

catch exception 直接印出来

靠腰XD 这种错误都是写到Log内 怎么往前端丢

还好吧 又没有敏感资讯 你看到又能怎样？

Oyodokai 笑死==

确实没敏感资讯 不过现在大家都知道他们用MS SQL Server了(?

银行用MS SQL Server是秘密吗？

不是 我在讲干话

也许它筛选过了 storage这种就是没资安问题的message(?

笑死，完全没有资安观念，一点点都没有，还秀讯息...

这种扫白箱算低风险吧 我猜他们报告中高太多 所以低的先不改了不过现在被网友抓包 大概传到他主管那他还是得改XD

超好笑

我昨天想说...帐户怎么了咧

这用一个最简单的string length or key word filter就可以滤掉了 这都不做是多懒

做了对考绩有帮助吗？万一加上去系统坏掉怎么办？ 我的考绩很重要耶等到出问题再修好它不就可以提升考绩

Ex 本来就抓bug讯息用的

复委托也是出包

笑死，每次回台湾在 reddit 查台湾银行 ATM 之类的资讯得到的评论都是 the most backwards banking system ever seen on earth

这件事要讲，说上面鬼话的人，根本没待过欧美。

我的 Wise 帐号到现在还是不能存台币，国泰今年四月甚至直接禁 Wise每次要干嘛都要去便利商店 ATM，明明手机 app 30 秒就可以完成的事变成一定要出门而且回来第一个月就遇到两次便利商店 ATM 系统坏掉/维修光这些我就完全不会想再用台湾银行了

台湾的任何银行都要小心自己钱会不会变少。前阵子，发现台银乱扣我帐户股款，重复扣钱。还要人主动发现，打电话才退。还修了几个小时，有够弱。台湾的银行业，都是靠备份来保障资料安全的，出了事情就还原，完全没品质与信赖可言。

台湾根本不适合住人==

台湾不是不适合人住，是这边被人搞到觉得不适合人住

63 F滑坡太多了吧国泰的问题也扯这么远。虽说国泰不意外

没有监控容量也太没规范了吧

看到错误讯息笑出来 XD

这不算什么资安问题 就是服务暂时不可用我也很喜欢这么做 第一db就那几种 也没详细到版本第二曝露出来的讯息多半使用者已知 没注入问题是还好更严重的是server在回传的时候跟客户端说自己是用什么技术写的 还不少框架和技术会这么做这种db错误多半也都是runtime error 方便除错多半曝露出来的少少资讯也就容易开发时就没了 db 也不会傻到曝露很隐私的资讯mssql倒是没用过 应该不会这么傻

别扯一堆 这讯息就是印到log client或web只显示不可用方便不是给你随便的理由 这种就手机开发前后端没切干净

然后呢？ 资安问题？ 首先我并与国泰没有任何关系实话实说就是这个问题不痛不痒对于资安来讲是这样 当然只回传错误是可以但我不觉得这讯息可以上升到资安级别有问题的资安问题太多了 而且一般人还不知道

这错误讯息有点猛XD

那就麻烦web仔写一篇能堵住的来给菜鸡们上一课吧！资安人员应该不会因为这点失业要管的东西太多了又不是只有web

看起来还好啦 我觉得容量爆了比较夸张 啊不就还好今天炸的是minor db

线上debug

确实不算什么资安问题 就是给使用者看到这串看不懂的体验不好而已

怎可能不算资安问题？Hacker能得到更多资讯，真要规划攻击，得到这些原始错误讯息只有好没有坏吧？

资安检查这种绝对不会过 因为我就遇过 还被拉去上课楼上说的没错 让骇客知道愈多愈危险 我公司之前就被骇过然后请palo alto network当顾问检查 就被纠正过这个问题还有连web server的种类和版本都不该显示给使用者知道

我蛮惊讶居然蛮多人觉得这没关系

懂得讲一句就懂 不懂的理由一大堆有些觉得肿脸充胖子比学新知识重要 反正不共事管他去死

惊讶很多人觉得不是资安问题+1

资安有比考绩重要吗？

这种公司资安不是第一吗...平常一堆流程文件干啥的？金管会这时又装死了？

CVE9.8执行长都可以盖章惹 不要这么怕 Team 银行

open source

堵住了当然有失业可能 因为现在web大行其道 web系统是一狗票 真非web的东西门槛也高那些说可以攻击的倒是攻攻看 真要攻进去server本来就有资安问题了 不用到db端alan是不是不懂我在讲什么 真的很好笑 很多自诩懂资安的都还在概念上打转骇客知道讯息越多越好那是指关键讯息 说真的你server都被攻破了后面是什么db重要吗db会提供自己在区网哪个host哪个port希望骇客找其它洞进入针对它吗 haha

好！ 大家不要吵架 :O

说真的不懂机制不懂运作说懂资安都是假的 还共事...改天有时间写个server请alan或他的亲朋好友攻攻看好

欧买尬爹斯 这也可以吵成这样

确实捏 但某些单位的评估会认为那些也有风险捏

了 一样曝露db错误讯息

有些事不是工程师们说ok 上面就说ok :O好希望超级熊猫大大可以去制定iso标准...

有些资安人员自己都不懂rd和运维技术跟着喊

其实讲那么多 银行端还不用以资安名义来说 用营运资讯外泄（资料表名称）就有得把相关承办人员叫去唸了...虽然这广义上来说也是资安问题就是 哈

这与iso有什么关系？要无限上纲曝露一点什么都是可以的 但更像是斗争

ISO 27K吧 27001/27002算基本27014跟金融业有关如果公司有认真做的话 照上面ISO标准验是不会过没错 前提是要认真做...

那就是管理规范而不是技术规范

竟会问这与iso有什么关系..在下有点失望了 超熊大大

对是管理规范 但技术人员也要参考这些管理规范做事 所以有时候技术人员知道那可能没什么 但在管理方面还是要遵守

我确实不懂管理 不用失望什么

没事的 超级熊猫大 你的一些观念在下还是敬佩的

我只要确保技术上给我管理一台机器没人可以攻破即可

错误讯息不能直接印给前端是很基本的吧又不是在开发环境.. 不懂有啥好争的

全部都你自己来你可以只显示通常错误 但现实环境很复杂的 过往相关银行的行事风格在本版已经讲很多什么都要不到情况是很恐怖的 给我选我都选曝露

笑死居然会问和iso 有什么关系

原来问问都不行？ 还要腥腥作态装客气楼上就接受?

不是不行，只是你推文的态度感觉很熟这块，但资安最基本的的 iso 27k 你却又突然不熟悉了，有点神奇。

人家超熊大大只是熟`技术规范`的 :(

我没说我懂iso管理规范繁文缛节我只是懂技术 我知道怎么做的近乎滴水不漏而已

ISO 27001 虽说是公司资安常导入的控制点检核/ISMS机制但实务上 application 层/ 治理层的安全规范，本来就是不同的专业内容...就跟会 iso 27001 的检核规范，跟能打红队是完全不一样的事情一样。

笑死

别傻了不可能滴水不漏 如果真的那么强的话你早就在ciahttps://tinyurl.com/24qtxb8u世界上多得是你看都没看过的漏洞

先不讲这些资料到底有没有用 光后端往前端丢资料不检查 前端也不检查后端丢过来的资料内容直接show出来 稽核谁给过

https://tinyurl.com/26vgrym5 关键时候漏洞才会发挥作用https://tinyurl.com/22ne7t6r 一网打尽https://tinyurl.com/276pt7nb 要宣扬国威的时候就摔https://tinyurl.com/22pumood 真的不要觉得你是固若金汤https://tinyurl.com/2blc4u9l 从一开始就有问题

汤尼Q大大说的真好！在下只是刚好两边都略懂而已:Q

没啥，只要钱不会被偷转走，都是小事啦。

笑死

"近乎"滴水不漏 很难理解吗？ 首先应用如果都是自己写的 防范下能出问题的就是底层设施 底层如果你又在套一些安全措施 如果有问题那差不多是系统层面有问题如果你不放在同个蓝子里那么这个可能性又在被削弱能又再突破的那差不多是国家级在针对你基本上第一层能做好就差不多挡全部 我只相信我自己所以第一层肯定有好 外加知道哪些是很可能有问题的技术 避开即可免于很多麻烦哪些是垃圾技术都需要研究的CVE搜一搜哪些老是在出问题的就可以排除很多了系统真的自带很多垃圾 什么systemd pkexec都是

看来楼上很适合加入银行IT 赞赞

3以上只是成本最低的方法我不想加入也没机会加入

资安就是你行你上喇 哈哈哈

cve给你考古用的 这是地板不是天花板 还没有实战之前嘴防部都是所谓近乎滴水不漏https://tinyurl.com/28wesyeb 不堪一击

听起来满猛的...

https://shorturl.at/PdvRT 历史被洗光只有老人才知道的史料https://tinyurl.com/28edqqvm 假设你从100年后回头看现在可能就是这种感觉

所以我才说成本最低 然后拿政府代表所有人真的太好笑了 政府资安本来就是纸糊的当然你贴的可以说明有特权可以突破政府的措施特权用户在电子系统层面都是致命的win2003 haha 用这种东西就是把命交给别人

你可能还是不懂任何别人无法破解的东西不可能到你手上水清则无鱼亘古名言破解不一定是找到编码上的漏洞https://tinyurl.com/ydcapg9bhttps://tinyurl.com/2d8xzww5

让人无法破解是靠自己 若非如此就是授人以柄大佬也不会闲的没事管你资安

树大招风才会惹议 小卡拉米没人管 看来大树用户吸不少满成功

“最近常传飞机飞来飞去，其实都是假的，今天只要金融系统被打趴，交易提款归零，电话不通，钱汇不出来，汇不进去，成本又低又简单，马上（台湾）就打趴了。”日航证实遭到网攻 国内外航班恐受影响

要趴ddos都可趴 这又不得不说这其实也是厂商的阴谋

楼上的点餐机出现摩斯马桶真的好笑！IT应该很惨！XD

https://tinyurl.com/28mvsrow 怎么感觉问题不小https://tinyurl.com/23tllkxe 收网了

可以挖到别人帐号密码吗？