iT邦幫忙

2021 iThome 鐵人賽

DAY 21
0
Security

網路奇妙物語 - IT&Security 系列 第 21

溫馨鬼故事 - 網購我的愛,我的個資跟著訂單出去了

  • 分享至 

  • xImage
  •  

溫馨鬼故事 - 網購我的愛,我的個資跟著訂單出去了

https://ithelp.ithome.com.tw/upload/images/20210920/20141165uyqikAXuyW.png
Credit: Drake

故事開始

以下故事純屬虛構,如有雷同那就雷同
今天不是鬼故事比較溫馨,因為廠商有認真修改。

故事又是發生小紅還是學生的時候,
小紅當時的伴侶(小粉)很喜歡買衣服+網購,甚至在畢業的時候進入知名電商工作,
小紅當時還是學生但小粉已經出去工作了,當小粉下班時小粉就跟他抱怨,
小粉:「最近公司常常被抱怨個資外洩,客服部門電話都被打爆了」
小紅:「是喔!是不是甚麼物流那邊外洩了之類的阿」
小粉:「不曉得耶,聽說他們有先檢查合作廠商」
小紅:「對了,你不是要買衣服嗎?這次交給我下單吧」
小粉:「好喔,你是不是要做甚麼奇怪的事!」
小紅(稍微戳了一下購物系統)
小紅:「ㄟ,我找到幾個漏洞,秀給你看」(打開 burpsuite)
小粉:「真的耶!好誇張,我明天跟工程師講一下」

時間來到了隔天下午,小粉表示工程師想要找小紅詢問漏洞,
工程師A:「謝謝你幫我們找到漏洞!但我們想要了解一下怎麼重現」
小紅:「我自己是做了一些測試,但都是自己寫的程式」
小紅:「不過我可以推薦你工具能夠滿足 9 成,這個漏洞或是之後要找漏洞的時可以用到」
工程師A:「真的嗎!太感謝了,其實我們也很苦惱這方面」
小紅:「不過先來講講這次漏洞吧,我寄信給你怎麼重現」
以下交流過程十分順利,工程師A也十分認真的了解漏洞,
並且也聽從小紅建議去做一些程式碼檢測等事情。

或許讀者會覺得這是小型商家吧,但故事中小紅測試的企業,
在他們的時空是打開電視就能看到的企業。

資安探討

故事中的溝通是一個優良範例,企業很正面的去解決資安問題,
並且也願意去花資源、人力去了解。

小紅其實當初挖到的問題其實並不複雜,
如果多一些 code review 並在開發周期內加入一些程式碼檢測,
就有機會避免小紅挖到的那些漏洞。

企業常常是 IT 兼開發兼資安人員,自己的服務自己修,
但他們並沒有受過正統資安訓練,甚至沒人教他們該如何寫一個安全的 code,
如果說想要從新學起,筆者不推薦從打造輪子開始,打造輪子太累了,
應該善用別人造好的輪子配上系統學習來的知識(引擎),你也能開出法拉利的速度,
不然只有輪子不知道怎麼開,就只是個手推車而已。

網頁滲透裡面有什麼輪子是必接觸的?我會說是 PortSwigger 公司開發的 Burp Suite,
如果你跟故事中的工程師A 一樣,對於網頁安全可能不太熟悉或是想要開始接觸滲透測試的新手,
我會推薦各位買 HackerCat 出的『WebSecurity 網站滲透測試:Burp Suite 完全學習指南』
你是初入資安的新手或是想要理解 Burp Suite 完整功能的工程師,我會建議你購買這本書作為你的學習旅程開端。

預購/購買連結:
https://www.tenlong.com.tw/products/9789864348831


上一篇
鬼故事 - 不可能,我家防火牆天下無敵
下一篇
鬼故事 - 天才小釣手
系列文
網路奇妙物語 - IT&Security 30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言