※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1580752787.A.2DF.html
→ alan3100: prepared/parameterizedstatement都不提談什麼防sql注入 02/04 02:11
推 splitline: X-XSS-Protection只能防反射型的 而且chrome已經廢除了 02/04 02:41
→ splitline: 至於firefox根本沒這個功能 02/04 02:41
→ splitline: bypass the auditor is nothing but a CTF challenge(O 02/04 02:46
→ splitline: 至於 sql 注入的確通常是因為開發者太廢導致的 02/04 02:50
→ guanting886: 大部分開發者都正向流程開發 加上網站程式設計入門檻 02/04 07:55
→ guanting886: 低 各式領域人都有參與 知識跟經驗水平都不一樣 02/04 07:55
推 guanting886: 除非你有在特別資訊安全關注這塊 或站被打掉過 且真 02/04 07:56
→ guanting886: 的去檢視攻擊手法為何 不然就真的是這個樣子 02/04 07:56
推 guanting886: 好加在有程式框架的出現,這種會先天上的設計約束一 02/04 07:58
→ guanting886: 些設計讓攻擊手法的花樣受限制 02/04 07:58
推 guanting886: 例如:因為框架普遍會在 set cookie 的 header 補上 02/04 08:00
→ guanting886: httpOnly 導致你沒有辦法透過 javascript去劫持使 02/04 08:00
→ guanting886: 用同一個網站的使用者的cookie裡的資料 02/04 08:00
→ guanting886: 以前的人怎麼可能會知道這個事情 只要搭配 XSS 在同 02/04 08:01
→ guanting886: 站或丟個訊息去賭 搞不好就拿到管理者的權限 02/04 08:01
推 guanting886: 不過就算有框架,在資訊安全的開發關注度多寡還是多 02/04 08:03
→ guanting886: 少會影響,例如:你用樣板引擎產生資料,結果輸入資 02/04 08:03
→ guanting886: 料、引擎產生的方式不當,導致遞入的資料可以執行程 02/04 08:03
→ guanting886: 式碼 02/04 08:03
→ guanting886: 或是 你這個套件要兜 ffmpeg、image magick 之類的 c 02/04 08:04
→ guanting886: li 工具 可能你用套件 或自己寫 02/04 08:04
→ guanting886: 導致你輸入的地方可以做 Command Injection 02/04 08:05
推 guanting886: 只能說要學的很多啊~ 今天沒發生在你身上 但是會發 02/04 08:06
→ guanting886: 生在你同事上XD 02/04 08:06
推 guanting886: (順便補充,這裡講的樣版引擎不是你在框架view上面 02/04 08:14
→ guanting886: 的key的那裡,而是你用引擎自身去兜資料起來的時候, 02/04 08:14
→ guanting886: 例如Ruby 語言上的 ERB 這個 class 處理沒留意就會發 02/04 08:14
→ guanting886: 生讓攻擊者可以執行程式碼的狀況 02/04 08:14
→ guanting886: 這發生在某些大站系統上 02/04 08:14
→ domototice: 是SQL injection... 02/04 08:38
推 srwhite: Sql injection 很多框架都幫忙處理了 02/04 10:07
→ srwhite: 倒是xss是不是在每個可能發生的地方都要特別處理 沒看到 02/04 10:08
→ srwhite: 什麼簡單使用的框架 02/04 10:08
推 vi000246: 有時候框架用好好的 結果多個奇怪需求 要繞路硬幹 02/04 11:32
→ vi000246: 開發者不用心 上面的人不在意 就會出現漏洞了 02/04 11:33
→ vi000246: 或是有些接案公司 用低價接案 開發的都新手 02/04 11:34
→ vi000246: 驗收的人也不懂 造成漏洞一堆 02/04 11:34
→ jinmin88: 簡單來說 這漏洞永遠都會存在 品質一分錢一分貨 02/04 12:19
→ alan3100: sqlinjection並不需要fw就能避免,要不是誤用fw不然就是 02/04 12:19
→ alan3100: 菜鳥不知道怎麼寫 02/04 12:20
→ hsnuyi: 語言設計的問題 想要讓所有人都能上手 但語法設計的太差 S 02/04 15:40
→ hsnuyi: QL根本就應該打掉重練 02/04 15:40
→ ssccg: 跟語法設計沒關係,injection問題的本質是data跟command混 02/04 15:56
→ ssccg: 淆,只要有跨語言執行指令都有可能發生 02/04 15:59
→ ssccg: SQL injection比其他好處理只是因為通常不需要太彈性的SQL 02/04 16:01
推 vencil: XSS本來就難防了 就連知名的框架也是不少見被挖出來 02/05 13:10
推 domototice: SQL Injection 可以在前端用vbscript後端用資料庫定義 02/06 03:37
→ domototice: 查詢欄位的資料類別以及欄位資料size來協助有很多方式 02/06 03:38
→ domototice: 謝謝您的分享!! 02/06 03:38
→ superpandal: 問前端阿 為什麼內文可以插入script 漏洞根本是個陰 02/08 17:29
→ superpandal: 謀 02/08 17:29
推 domototice: 他好像是利用SQL語法漏洞 google sql injection 02/08 17:42
→ domototice: 比如https://zh.wikipedia.org/wiki/SQL注入 02/08 17:43
→ superpandal: sql注入還不是那麼嚴重 不喜歡市面上的就是了 XD 02/08 19:18
推 Nitricacid: 拿香蕉請的很正常 02/10 00:43
推 eeyellow: 政府標案要求廠商資安但不編列經費,壓價格但事情變多 02/18 09:33
推 eeyellow: 廠商也不願意花錢在人才上,導致惡性循環 02/18 09:36