溫馨鬼故事 - 網購我的愛，我的個資跟著訂單出去了

Credit: Drake

故事開始

以下故事純屬虛構，如有雷同那就雷同
今天不是鬼故事比較溫馨，因為廠商有認真修改。

故事又是發生小紅還是學生的時候，
小紅當時的伴侶（小粉）很喜歡買衣服+網購，甚至在畢業的時候進入知名電商工作，
小紅當時還是學生但小粉已經出去工作了，當小粉下班時小粉就跟他抱怨，
小粉：「最近公司常常被抱怨個資外洩，客服部門電話都被打爆了」
小紅：「是喔！是不是甚麼物流那邊外洩了之類的阿」
小粉：「不曉得耶，聽說他們有先檢查合作廠商」
小紅：「對了，你不是要買衣服嗎？這次交給我下單吧」
小粉：「好喔，你是不是要做甚麼奇怪的事！」
小紅（稍微戳了一下購物系統）
小紅：「ㄟ，我找到幾個漏洞，秀給你看」(打開 burpsuite)
小粉：「真的耶！好誇張，我明天跟工程師講一下」

時間來到了隔天下午，小粉表示工程師想要找小紅詢問漏洞，
工程師Ａ：「謝謝你幫我們找到漏洞！但我們想要了解一下怎麼重現」
小紅：「我自己是做了一些測試，但都是自己寫的程式」
小紅：「不過我可以推薦你工具能夠滿足 9 成，這個漏洞或是之後要找漏洞的時可以用到」
工程師Ａ：「真的嗎！太感謝了，其實我們也很苦惱這方面」
小紅：「不過先來講講這次漏洞吧，我寄信給你怎麼重現」
以下交流過程十分順利，工程師Ａ也十分認真的了解漏洞，
並且也聽從小紅建議去做一些程式碼檢測等事情。

或許讀者會覺得這是小型商家吧，但故事中小紅測試的企業，
在他們的時空是打開電視就能看到的企業。

資安探討

故事中的溝通是一個優良範例，企業很正面的去解決資安問題，
並且也願意去花資源、人力去了解。

小紅其實當初挖到的問題其實並不複雜，
如果多一些 code review 並在開發周期內加入一些程式碼檢測，
就有機會避免小紅挖到的那些漏洞。

企業常常是 IT 兼開發兼資安人員，自己的服務自己修，
但他們並沒有受過正統資安訓練，甚至沒人教他們該如何寫一個安全的 code，
如果說想要從新學起，筆者不推薦從打造輪子開始，打造輪子太累了，
應該善用別人造好的輪子配上系統學習來的知識(引擎)，你也能開出法拉利的速度，
不然只有輪子不知道怎麼開，就只是個手推車而已。

網頁滲透裡面有什麼輪子是必接觸的？我會說是 PortSwigger 公司開發的 Burp Suite，
如果你跟故事中的工程師A 一樣，對於網頁安全可能不太熟悉或是想要開始接觸滲透測試的新手，
我會推薦各位買 HackerCat 出的『WebSecurity 網站滲透測試：Burp Suite 完全學習指南』
你是初入資安的新手或是想要理解 Burp Suite 完整功能的工程師，我會建議你購買這本書作為你的學習旅程開端。

預購／購買連結：
https://www.tenlong.com.tw/products/9789864348831