Credit: 天兵公園
靈感來源:UCCU Hacker
不是耶,怎麼閃得那麼自然的阿
今天不用單一故事來舉例,而是來分享當回報漏洞的時候大家聽過最荒謬的回答
故事為創作,如以雷同那就雷同,請勿將自己代入
資安人員:你們的網頁服務 eid 有 sql injection 漏洞,請修復
網頁開發人員(一周後回信件):修復了
資安人員(複測): eid 只更換成 event_id,還是有 sql injection
網頁開發人員:這是新漏洞喔,我們會再修復
資安人員:....
Bug bounty 獵人:(閒逛網站,從 google search hunting 找到漏洞)透過漏洞回報平台回報
被找到漏洞的廠商:你們怎麼可以找我網站漏洞,我要告你們!
被找到漏洞的廠商:你們替駭客通報我們肯定不是什麼好東西啦!
漏洞回報平台:...(無辜)
客戶:我們最近網頁被人回報有漏洞可以放後門,你們這些資安廠商有什麼對策嗎
資安廠商:貴單位似乎目前只有買防毒
客戶:阿如果我們伺服器被從漏洞放後門就不會叫嗎?我們買你們幹嘛?
資安廠商:這種狀況我們會建議修復漏洞,如果暫時不行可以先買 WAF
客戶:算了算了,又要我們買設備
故事一裡面的鴕鳥心態其實常見於被要求做資安的單位,上級機關會邀外部廠商做大規模測試,
而這時候最常見的就應對方式就是暫時將有漏洞的服務下架,或是將測試團隊的 IP ban 掉,
只要在考試期間不要被測試道就沒事了吧,這種鴕鳥心態只能躲避測試,
但躲不掉真正的駭客。
有時候會更誇張的要人家改測試結果,有高風險請廠商修改報告...
credit: 海綿寶寶
來源:UCCU Hacker
有一些單位已花錢是大爺的心態,買了一項產品但想從廠商們拿到超出產品以外的能力,
買了一個防毒軟體,但卻問廠商最新的 exchange 漏洞能不能防,
防毒廠商當然跟你講能防,能防惡意程式進來之後,
承辦人員跟主管回報:「防毒軟體廠商說能防(只講一半)」
防毒廠商:「...」
正確的心態應該是修補漏洞,無法修補之前應該透過上 firewall、監控 exploit 可能產生的 log等...
進行減緩或是偵測的行動,application 層的漏洞卻想用 device 的 solution 去解決是不切實際的。
詳細可以參考 CDM ,如果你能了解漏洞影響的資產,就能更清楚知道應該要從哪裡開始保護。
https://cyberdefensematrix.com/
已經虛擬修補(virtual patch),就不用真的補了 <--傻眼
這好像在製造業的上古神機蠻常見XD 沒得修
但看過在網頁伺服器被找到洞了,叫廠商幫寫 WAF rule 擋,
但自己過了一年完全沒有修補漏洞
就是把虛擬修補當作真的修補~將來會出慘案的~