鬼故事 - 不修拉，這輩子都不可能修的

Credit: 天兵公園
靈感來源：UCCU Hacker

不是耶，怎麼閃得那麼自然的阿

故事開始

今天不用單一故事來舉例，而是來分享當回報漏洞的時候大家聽過最荒謬的回答
故事為創作，如以雷同那就雷同，請勿將自己代入

故事一：修了，但這是新漏洞

資安人員：你們的網頁服務 eid 有 sql injection 漏洞，請修復
網頁開發人員（一周後回信件）：修復了
資安人員（複測）： eid 只更換成 event_id，還是有 sql injection
網頁開發人員：這是新漏洞喔，我們會再修復
資安人員：....

故事二：你怎麼可以測我網站，我要告你

Bug bounty 獵人：（閒逛網站，從 google search hunting 找到漏洞）透過漏洞回報平台回報
被找到漏洞的廠商：你們怎麼可以找我網站漏洞，我要告你們！
被找到漏洞的廠商：你們替駭客通報我們肯定不是什麼好東西啦！
漏洞回報平台：...(無辜)

故事三：我們有買你們家產品耶

客戶：我們最近網頁被人回報有漏洞可以放後門，你們這些資安廠商有什麼對策嗎
資安廠商：貴單位似乎目前只有買防毒
客戶：阿如果我們伺服器被從漏洞放後門就不會叫嗎？我們買你們幹嘛？
資安廠商：這種狀況我們會建議修復漏洞，如果暫時不行可以先買 WAF
客戶：算了算了，又要我們買設備

資安探討

鴕鳥心態

故事一裡面的鴕鳥心態其實常見於被要求做資安的單位，上級機關會邀外部廠商做大規模測試，
而這時候最常見的就應對方式就是暫時將有漏洞的服務下架，或是將測試團隊的 IP ban 掉，
只要在考試期間不要被測試道就沒事了吧，這種鴕鳥心態只能躲避測試，
但躲不掉真正的駭客。

有時候會更誇張的要人家改測試結果，有高風險請廠商修改報告...

credit: 海綿寶寶
來源：UCCU Hacker

想靠廠商做完所有事情

有一些單位已花錢是大爺的心態，買了一項產品但想從廠商們拿到超出產品以外的能力，
買了一個防毒軟體，但卻問廠商最新的 exchange 漏洞能不能防，
防毒廠商當然跟你講能防，能防惡意程式進來之後，
承辦人員跟主管回報：「防毒軟體廠商說能防（只講一半）」
防毒廠商：「...」

正確的心態應該是修補漏洞，無法修補之前應該透過上 firewall、監控 exploit 可能產生的 log等...
進行減緩或是偵測的行動，application 層的漏洞卻想用 device 的 solution 去解決是不切實際的。
詳細可以參考 CDM ，如果你能了解漏洞影響的資產，就能更清楚知道應該要從哪裡開始保護。

https://cyberdefensematrix.com/