楼主:
Merkle (你在想奇怪的东西齁)
2024-12-21 01:22:13http://i.imgur.com/NpicdAz.jpg
http://i.imgur.com/EUgYxKn.jpg
蛮屌的
直接整个错误讯息string吐回去给前端
吐给前端连资料内容判断都不做直接吐回去
号称资安最重要的金融业搞这样
真的蛮屌的
作者: afterxxxxx 2023-02-16 22:07:00
我高中同学兄弟俩爱吃麦当劳常跑去偷吃 他爸有次生气
楼主:
Merkle (你在想奇怪的东西齁)
2023-02-16 22:08:00就射了
作者: afterxxxxx 2023-02-16 22:09:00
了说爱吃就让你们吃个够 然后连续两个礼拜晚餐都吃麦
楼主:
Merkle (你在想奇怪的东西齁)
2023-02-16 22:09:00克阿瑟为子祈祷文
作者: afterxxxxx 2023-02-16 22:10:00
我同学还是吃得很开心然后他爸先崩溃了
作者:
OyodoKai (魔法少女大淀)
2024-12-21 01:40:00这个都中台而已啦 不用怕真正的核心老到连错误讯息都没有的
作者:
neo5277 (I am an agent of chaos)
2024-12-21 01:47:00复委托挂不知道是不是一样的原因
作者:
OyodoKai (魔法少女大淀)
2024-12-21 01:49:00某家银行核心系统有CVE9.8的漏洞 执行长盖章上线 不怕
作者:
kmd (a小调行板赋格曲)
2024-12-21 02:34:00重点是会吐这么详细的讯息,该不会跑 debug mode 吧
作者: yunf 2024-12-21 02:51:00
作者: lchcoding 2024-12-21 03:09:00
骇客表示欣慰...
作者: yunf 2024-12-21 04:16:00
更新的目的其实只是为了让他掌握你系统漏洞是他可以用的
作者: kevin8197 2024-12-21 07:12:00
opt存db? 有没有实作范例
作者:
glwl40039 (glwl40039)
2024-12-21 07:25:00银行真的笑烂
作者:
AxelGod (Axel)
2024-12-21 09:34:00银行IT或乙方开发就屎中之屎能不去就不要去,风气就是根本没在想解决问题的
作者:
ptta (ptta)
2024-12-21 09:41:00一楼好好笑
作者:
v7q4 ((.)(.)乳剑双修 -|=>)
2024-12-21 10:36:00catch exception 直接印出来
作者:
Arbin (路人_Lv菜逼八)
2024-12-21 10:42:00靠腰XD 这种错误都是写到Log内 怎么往前端丢
作者:
Obama19 (^_^)
2024-12-21 10:43:00还好吧 又没有敏感资讯 你看到又能怎样?
作者:
Arbin (路人_Lv菜逼八)
2024-12-21 10:51:00确实没敏感资讯 不过现在大家都知道他们用MS SQL Server了(?
作者:
iq1000x (台串彭于晏)
2024-12-21 11:23:00银行用MS SQL Server是秘密吗?
作者:
Arbin (路人_Lv菜逼八)
2024-12-21 11:25:00不是 我在讲干话
也许它筛选过了 storage这种就是没资安问题的message(?
作者:
mathrew (Joey)
2024-12-21 11:35:00笑死,完全没有资安观念,一点点都没有,还秀讯息...
作者:
hooll111 (Katsudon)
2024-12-21 11:40:00这种扫白箱算低风险吧 我猜他们报告中高太多 所以低的先不改了不过现在被网友抓包 大概传到他主管那他还是得改XD
作者:
brandy (之)
2024-12-21 13:04:00我昨天想说...帐户怎么了咧
楼主:
Merkle (你在想奇怪的东西齁)
2024-12-21 14:13:00这用一个最简单的string length or key word filter就可以滤掉了 这都不做是多懒
作者:
OyodoKai (魔法少女大淀)
2024-12-21 14:21:00做了对考绩有帮助吗?万一加上去系统坏掉怎么办? 我的考绩很重要耶等到出问题再修好它不就可以提升考绩
作者:
x20165 (八風å¹ä¸å‹•)
2024-12-21 14:35:00复委托也是出包
作者:
CoNsTaR ((const *))
2024-12-21 15:12:00笑死,每次回台湾在 reddit 查台湾银行 ATM 之类的资讯得到的评论都是 the most backwards banking system ever seen on earth
作者:
CoNsTaR ((const *))
2024-12-21 16:17:00我的 Wise 帐号到现在还是不能存台币,国泰今年四月甚至直接禁 Wise每次要干嘛都要去便利商店 ATM,明明手机 app 30 秒就可以完成的事变成一定要出门而且回来第一个月就遇到两次便利商店 ATM 系统坏掉/维修光这些我就完全不会想再用台湾银行了
作者:
DrTech (竹科管理处网军研发人员)
2024-12-21 17:46:00台湾的任何银行都要小心自己钱会不会变少。前阵子,发现台银乱扣我帐户股款,重复扣钱。还要人主动发现,打电话才退。还修了几个小时,有够弱。台湾的银行业,都是靠备份来保障资料安全的,出了事情就还原,完全没品质与信赖可言。
作者:
Apache (阿帕契)
2024-12-21 18:14:00台湾根本不适合住人==
作者:
AxelGod (Axel)
2024-12-21 18:34:00台湾不是不适合人住,是这边被人搞到觉得不适合人住
作者: IMBonjwa (好运到!!) 2024-12-21 18:42:00
63 F滑坡太多了吧国泰的问题也扯这么远。虽说国泰不意外
作者:
toole (图喔)
2024-12-21 19:46:00没有监控容量也太没规范了吧
作者:
Ekmund (是一只小叔)
2024-12-21 22:56:00看到错误讯息笑出来 XD
作者: superpandal 2024-12-21 23:02:00
这不算什么资安问题 就是服务暂时不可用我也很喜欢这么做 第一db就那几种 也没详细到版本第二曝露出来的讯息多半使用者已知 没注入问题是还好更严重的是server在回传的时候跟客户端说自己是用什么技术写的 还不少框架和技术会这么做这种db错误多半也都是runtime error 方便除错多半曝露出来的少少资讯也就容易开发时就没了 db 也不会傻到曝露很隐私的资讯mssql倒是没用过 应该不会这么傻
别扯一堆 这讯息就是印到log client或web只显示不可用方便不是给你随便的理由 这种就手机开发前后端没切干净
作者: superpandal 2024-12-21 23:19:00
然后呢? 资安问题? 首先我并与国泰没有任何关系实话实说就是这个问题不痛不痒对于资安来讲是这样 当然只回传错误是可以但我不觉得这讯息可以上升到资安级别有问题的资安问题太多了 而且一般人还不知道