※ 本文轉寄自 ptt.cc 更新時間: 2023-05-04 16:24:03
看板 Soft_Job
作者 標題 新手剛入職就發現有SQL injection漏洞 該回報嗎
時間 Wed May 3 00:45:43 2023
先簡單自我介紹一下 小弟自學+上課 學了一段時間的Java(大約三年) 偶爾也會上github對
開源專案發一些PR 也會看一些資安 資訊方面的相關議題 因為住在蠻偏遠的地區 所以直到
最近才有找軟體方面的工作
開源專案發一些PR 也會看一些資安 資訊方面的相關議題 因為住在蠻偏遠的地區 所以直到
最近才有找軟體方面的工作
目前剛錄取一份接案公司的工作 主要語言是php
今天整天幾乎都在看code
但是跟github上開源的code比起來真的是又髒又亂
變數命名沒照規則 而且還用老舊的php5 例如2023年的案子裡面還有deprecated的meth
od
更別說程式碼感覺都是貼來貼去的 拿以前的來貼改
檔案名稱 資料夾名稱也是都奇奇怪怪 整個專案裡面一大堆無關的code
看code看到後面越來越不對勁 一個簡單的or 1=1就看出來根本沒防sql注入
下班後用某工具對公司的一個案子試了一下 直接把所有db跟table還有資料直接撈出來
重點是全部案子 包括公司的一些資訊都在同一個server上可以直接撈
請問我該回報嗎 回報了不知道會不會被黑…(雖然我手上還有另一份offer
第一次在本版po文請見諒
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.27.18.174 (臺灣)
※ 作者: jeff87218 2023-05-03 00:45:43
※ 文章代碼(AID): #1aKJuvtu (Soft_Job)
※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1683045945.A.DF8.html
※ 編輯: jeff87218 (114.27.18.174 臺灣), 05/03/2023 00:48:30
→ : 如果另一個 offer 能接受不如就直接閃人吧1F 05/03 00:51
推 : 回報為啥會被黑,語氣正常的話應該大家都很願意學習吧2F 05/03 00:53
→ : 這些改善的工作就交給你了3F 05/03 01:07
推 : 趕快跑啊,還回報?4F 05/03 01:09
推 : 好典型新手的想法 開源 追求code完美簡潔blablabla5F 05/03 01:09
推 : 快逃6F 05/03 01:09
→ : 都是接案公司了 當deadline逼近 誰還管樣樣都完美啊7F 05/03 01:10
噓 : 老闆請你來幹嘛的?有問題不回報,上PTT發問,笑死8F 05/03 01:11
→ : 能趕快交付 拿到錢比較重要 你該了解當初這樣做的事由9F 05/03 01:11
噓 : 先跟你上頭討論吧!怎麼會是先發文跟鄉民討論 笑死10F 05/03 01:15
噓 : 趕快換一家有點水準的公司11F 05/03 01:43
→ : 最好用pdo傳參 php官方文檔很好 寫php最愜意的就是12F 05/03 02:37
→ : 邊看文檔寫一寫發現這樣就寫好了
→ : 文檔也有包 當然亂寫的肯定不會這樣做
→ : 簡潔與安全和擴充性不是衝突的 我寫的是這樣 XD
→ : 所以都不想用框架 什麼高並發原生其實也都可以
→ : 解決 php本身就是對c語言的封裝 會寫了對了解c有幫助
→ : 其它的語言都是研究個老半天 然後例如在jdk裡有些細
→ : 節 而且更新php版本你應該考慮 如果你是oop狂人
→ : 邊看文檔寫一寫發現這樣就寫好了
→ : 文檔也有包 當然亂寫的肯定不會這樣做
→ : 簡潔與安全和擴充性不是衝突的 我寫的是這樣 XD
→ : 所以都不想用框架 什麼高並發原生其實也都可以
→ : 解決 php本身就是對c語言的封裝 會寫了對了解c有幫助
→ : 其它的語言都是研究個老半天 然後例如在jdk裡有些細
→ : 節 而且更新php版本你應該考慮 如果你是oop狂人
推 : 這種等級的技術債還是快逃吧,有礙成長,除非錢多真香20F 05/03 03:05
→ : …
推 : 追求乾淨的程式跟新手老手沒關係,支持原po保持初衷,
→ : 但也要考量各種外力影響,避免成為武痴
→ : 至於要不要回報…很大程度取決於你們公司風氣,建議你
→ : 多觀察和試探前輩跟同事的反應
→ : …
推 : 追求乾淨的程式跟新手老手沒關係,支持原po保持初衷,
→ : 但也要考量各種外力影響,避免成為武痴
→ : 至於要不要回報…很大程度取決於你們公司風氣,建議你
→ : 多觀察和試探前輩跟同事的反應
→ : 言歸正傳 回報要重構26F 05/03 03:18
→ : 有可能大家都心裡有數但就是嫌麻煩而已。嗯不是每個人27F 05/03 03:19
→ : 都覺得進步是好事…
→ : 都覺得進步是好事…
→ : 用vi/vim重構 不行就閃29F 05/03 03:21
→ : 現在php xdebug斷點追縱也很方便
→ : 現在php xdebug斷點追縱也很方便
→ : 快跑 這問題根本不該發生31F 05/03 04:20
噓 : 某 Mutibil 這完全不是追求完美的問題吧32F 05/03 04:41
→ : 事情亂做也可以被你美化成"當初這樣做的事由"到底有沒有
→ : 底線啊
→ : 你這樣亂搞用的理由是"能趕快交付",我就問到底是亂搞還
→ : 是把事情做對能比較快交出能用的東西?
→ : 當然如果你的程度就是只能亂搞,沒日沒夜的亂搞花一堆不
→ : 必要的時間繞不必要的圈圈解不必要的 bug 最後總算生出一
→ : 個勉強能用的東西你大概會很自豪自己在 deadline 前生出
→ : 東西吧
→ : 然後再信心爆棚來嘴其他人是追求完美?
→ : 事情亂做也可以被你美化成"當初這樣做的事由"到底有沒有
→ : 底線啊
→ : 你這樣亂搞用的理由是"能趕快交付",我就問到底是亂搞還
→ : 是把事情做對能比較快交出能用的東西?
→ : 當然如果你的程度就是只能亂搞,沒日沒夜的亂搞花一堆不
→ : 必要的時間繞不必要的圈圈解不必要的 bug 最後總算生出一
→ : 個勉強能用的東西你大概會很自豪自己在 deadline 前生出
→ : 東西吧
→ : 然後再信心爆棚來嘴其他人是追求完美?
推 : 原po新手不要聽5樓在哪邊亂講42F 05/03 06:59
→ : 該做的事情沒做好,deadline只是能力不足的藉口罷了
→ : 該做的事情沒做好,deadline只是能力不足的藉口罷了
→ : 如果是我,會多想:怎麼修,誰修,如果自己修有什麼後果?44F 05/03 07:17
→ : 對自己與公司有幫助嗎?職場報漏洞抓別人毛病真的很簡單,
→ : 有沒有價值比較重要。
→ : 對自己與公司有幫助嗎?職場報漏洞抓別人毛病真的很簡單,
→ : 有沒有價值比較重要。
推 : web仔日常 bug就是留給發現的你來修47F 05/03 07:18
推 : 臺灣接案公司別肖想code品質有多好,要追求品質就不該繼48F 05/03 07:54
→ : 續待了,趕緊跳去別家正常些的公司吧。
→ : 續待了,趕緊跳去別家正常些的公司吧。
推 : 回報前,先確認自己有沒有解法,又不會造成影響50F 05/03 07:54
噓 : 沒有deadline問題的是過太爽還是運氣太好沒遇過 不要用51F 05/03 07:54
→ : 做自家產品的思維去看接案好嗎
→ : 做自家產品的思維去看接案好嗎
→ : 有的話,就回報然後一併提供上去53F 05/03 07:54
推 : 推DrTech, 先思考做這件事如何讓它有價值54F 05/03 08:13
→ : 快逃55F 05/03 08:43
→ : 寫php對 c沒幫助,你又不是自己寫擴展,沒意義。
→ : 寫php對 c沒幫助,你又不是自己寫擴展,沒意義。
噓 : 快逃57F 05/03 08:52
推 : deadline跟你為了快速亂寫有什麼交集嗎? 有點水準的58F 05/03 08:53
→ : 話根本不會那樣寫啊
→ : 就算為了快 也不會那樣寫 難道你都hardcode嗎 為了趕
→ : 快交出去
→ : 話根本不會那樣寫啊
→ : 就算為了快 也不會那樣寫 難道你都hardcode嗎 為了趕
→ : 快交出去
→ : 當deadline突然浮動到剩下1%時間,的確會有交集,我覺62F 05/03 09:03
→ : 得接案或產品都可能出現這種情況啦,線上都爆炸了,先h
→ : ardcode止血再說,問題在於事後有沒有去檢討調整,有時
→ : 候調整期也不是一兩天的規劃,如果要幾周甚至一個月,
→ : 過程中來了個新人看到就會認為這什麼糞code,有時候糞c
→ : ode是有他的前因後果
→ : 得接案或產品都可能出現這種情況啦,線上都爆炸了,先h
→ : ardcode止血再說,問題在於事後有沒有去檢討調整,有時
→ : 候調整期也不是一兩天的規劃,如果要幾周甚至一個月,
→ : 過程中來了個新人看到就會認為這什麼糞code,有時候糞c
→ : ode是有他的前因後果
→ : 既然發現漏洞那就交給你處理了:) 你說原本的專案進度 當然68F 05/03 09:06
→ : 照舊阿 能者多勞 公司不會虧待你 年底我試著幫你跟上面談談
→ : 照舊阿 能者多勞 公司不會虧待你 年底我試著幫你跟上面談談
→ : Mutibil的想法我這種寫code新手完全無法接受70F 05/03 09:14
→ : 這種基本的漏洞會存在這麼久 勸你快逃ㄚㄚ71F 05/03 09:17
→ : 這種漏洞有在接案做過的應該都見怪不怪了72F 05/03 09:22
→ : 沒有才值得驚訝
→ : 理想不存在現實裡 不然就像上面說的能者多勞 多做點
→ : 沒有才值得驚訝
→ : 理想不存在現實裡 不然就像上面說的能者多勞 多做點
→ : hardcode和injection是兩回事吧,injection完全是習慣不好75F 05/03 09:49
→ : hardcode頂多是要改時麻煩點,一種技術債。SQL injection是
→ : 不滿足最基本的資安規格,而且常見的直接組字串不用參數化
→ : 的寫法寫起來就沒有比較快啊
→ : 這種通常都是從來沒學過正確寫法的半路出家碼農寫的,不要
→ : 用什麼時程壓力去幫基本功不及格的人開脫
→ : hardcode頂多是要改時麻煩點,一種技術債。SQL injection是
→ : 不滿足最基本的資安規格,而且常見的直接組字串不用參數化
→ : 的寫法寫起來就沒有比較快啊
→ : 這種通常都是從來沒學過正確寫法的半路出家碼農寫的,不要
→ : 用什麼時程壓力去幫基本功不及格的人開脫
推 : 可以把所有db都dump出來這說不定早被其他人dump過了。現81F 05/03 10:06
→ : 在你回報了公司才發現出歹事了說不定還變成頭號嫌疑犯。
→ : 我想這才是原po最擔心的事。。。
→ : 在你回報了公司才發現出歹事了說不定還變成頭號嫌疑犯。
→ : 我想這才是原po最擔心的事。。。
→ : 我針對hardcode,說實在補習班也會教injection,還這樣84F 05/03 10:17
→ : 寫單純就,程度差
→ : 寫單純就,程度差
→ : 現在還有 sql injection 這種古老到不行的漏洞?!86F 05/03 10:20
推 : 同意樓上 我以為只在教科書範例上看過ww87F 05/03 10:23
→ : 回報啊 要改?沒問題 請給時間 不改?那就不是我的問題88F 05/03 10:23
→ : 只能說這些都是技術債,現在新的框架用ORM早就沒那問題了89F 05/03 10:37
→ : 別懷疑 多到不行 常接案的人就懂90F 05/03 10:59
推 : 自學可以到開源專案發 PR 、還能隨便抓出公司專案漏洞91F 05/03 11:05
→ : 感覺原 po 是有天份的
→ : 快換家像樣點的公司吧
→ : 感覺原 po 是有天份的
→ : 快換家像樣點的公司吧
推 : 一個人是救不了一間公司的,大家都爛你是想要改善什麼?94F 05/03 11:45
推 : 一定要回報95F 05/03 11:52
推 : 還是要回報,然後看看公司的處理方法,就可以決定是不是該96F 05/03 11:54
→ : 逃了。
→ : 逃了。
推 : 不要聽五樓在亂講,正常公司根本不會犯這麼基礎的錯誤98F 05/03 12:00
推 : 接案公司沒人在管維護性的 你是要clean code還是要money99F 05/03 12:03
→ : 接案就沒救了,反正你也待不久的,別回報了100F 05/03 12:05
→ : 感謝大家的回覆 目前有想到一些補洞的方式 看到db裡面101F 05/03 12:15
→ : 存密碼是明文的方式沒加密 真的大開眼界了…主管今天
→ : 不在之後再想辦法回報
→ : 存密碼是明文的方式沒加密 真的大開眼界了…主管今天
→ : 不在之後再想辦法回報
推 : 要馬不報 要馬離職的時候報104F 05/03 12:21
→ : 現在報就是你負責修
→ : 接案那種責任外包的制度只關心錢有沒有進來
→ : 待久了只會限制自己的發展
→ : 現在報就是你負責修
→ : 接案那種責任外包的制度只關心錢有沒有進來
→ : 待久了只會限制自己的發展
推 : 『這麼行喔?那都給你做好啦』108F 05/03 12:44
→ : 高雄公司? 嘻嘻 專案外部可連嗎? 不可的話你在擔心109F 05/03 12:48
→ : 什麼
→ : 你是專案維護者嗎 職場倫理政治大於程式合理性
→ : 什麼
→ : 你是專案維護者嗎 職場倫理政治大於程式合理性
→ : 原PO 你想一下 上面留言的 就是你公司的前輩類型居多112F 05/03 12:55
推 : 臭老人真多XD113F 05/03 13:32
→ : 現實是菜逼巴以為是自己先發現,其他老人都沒發現,然後回114F 05/03 13:33
→ : 報給主管被主管打槍,然後不爽離職結局
→ : 報給主管被主管打槍,然後不爽離職結局
→ : 如果密碼都敢明碼存 那真的可以理解sql注入會發生116F 05/03 13:39
→ : 其實呀 這些爛code應該不少是老闆創業的時候自己幹出來
→ : 既然都是接案公司,你花時間去維護已經收完尾款的專案
→ : 真的是有點浪費時間,甚至甲方都不存在了或沒在用了
→ : 接案公司用人力評估新案 才有辦法賺一點微薄利潤
→ : 不是自己的事業都隨便做 這就是接案公司的態度 你太認真
→ : 老闆會覺得 你有時間不去做新案 在搞款項都收完的要幹嘛
→ : 其實呀 這些爛code應該不少是老闆創業的時候自己幹出來
→ : 既然都是接案公司,你花時間去維護已經收完尾款的專案
→ : 真的是有點浪費時間,甚至甲方都不存在了或沒在用了
→ : 接案公司用人力評估新案 才有辦法賺一點微薄利潤
→ : 不是自己的事業都隨便做 這就是接案公司的態度 你太認真
→ : 老闆會覺得 你有時間不去做新案 在搞款項都收完的要幹嘛
推 : 笑死 在那邊嘴亂講 依據? 為何要用一般公司的角度去看123F 05/03 13:50
→ : 接案公司 更何況是更小規模的接案公司 我沒說sql injecti
→ : on這種錯誤是正常去合理化 但人流動率那麼高 有時還要外
→ : 包找救火 code review是能做到多確實?要求品質? deadli
→ : ne壓力下 團隊管理人救火都來不及了 能花多少時間團隊管
→ : 理 專案迭代那麼快與緊促 什麼都可能發生啊 但都會有它發
→ : 生的緣由 不要用當下的認知去看待所有邏輯 覺得都好糞 只
→ : 能盡可能做到別讓紕漏常態化 站在不同角度去看待接案性
→ : 質 本就是件很荒謬的事情
→ : 接案公司 更何況是更小規模的接案公司 我沒說sql injecti
→ : on這種錯誤是正常去合理化 但人流動率那麼高 有時還要外
→ : 包找救火 code review是能做到多確實?要求品質? deadli
→ : ne壓力下 團隊管理人救火都來不及了 能花多少時間團隊管
→ : 理 專案迭代那麼快與緊促 什麼都可能發生啊 但都會有它發
→ : 生的緣由 不要用當下的認知去看待所有邏輯 覺得都好糞 只
→ : 能盡可能做到別讓紕漏常態化 站在不同角度去看待接案性
→ : 質 本就是件很荒謬的事情
推 : 你覺得只有自己知道嗎?132F 05/03 14:24
→ : 如果你要讓公司面對,你不妨用外面電腦去搞一下133F 05/03 14:46
→ : 別再為能力不足找藉口了.干接案屁事134F 05/03 14:50
→ : 接案有其限制沒錯,但不是這麼無限上綱的,原po提的疑慮135F 05/03 14:54
→ : 也很合理,結果有人在那邊嘴新手想法的,被反駁一下也是
→ : 剛好而已
→ : 也很合理,結果有人在那邊嘴新手想法的,被反駁一下也是
→ : 剛好而已
→ : 要說跟接案沒關係也對啦 跟付錢的人關係比較大138F 05/03 15:00
→ : 一堆案子都是舊框架也是有一堆資安問題 你改嗎
→ : 一堆案子都是舊框架也是有一堆資安問題 你改嗎
推 : XDDDDDDDDD140F 05/03 15:09
噓 : 這種問題也能問,聘你做什麼…141F 05/03 15:15
推 : 你發現了 你來改 加油!142F 05/03 15:23
推 : 世界很現實 如果是正在run的專案要改143F 05/03 15:40
→ : 收完尾款的code沒有改的必要
→ : 收完尾款的code沒有改的必要
推 : 不要聽上面講的什麼用外面的電腦去搞一下之類的話145F 05/03 15:46
→ : 就算公司資安做很爛 你去攻擊他還是會吃刑責跟官司
→ : 不要沒事找事做 上面推文的人不會幫你付和解金
→ : 就算公司資安做很爛 你去攻擊他還是會吃刑責跟官司
→ : 不要沒事找事做 上面推文的人不會幫你付和解金
推 : 可以改啊,然後各種你想不到的地方炸裂看你怎麼收148F 05/03 15:47
→ : 這種爛code通常會有各種神奇的用法,祖傳秘笈
→ : SQL injection你有沒想過可能某個不知道的專案靠它運作
推 : 所以為什麼越資深的人做這種事情做越慢,因為謹慎
→ : 好的架構是很重要,但對小公司來講,獲利更重要
→ : 資安漏洞,客戶驗收有驗過嗎?有簽賠償條款嗎
→ : 這種爛code通常會有各種神奇的用法,祖傳秘笈
→ : SQL injection你有沒想過可能某個不知道的專案靠它運作
推 : 所以為什麼越資深的人做這種事情做越慢,因為謹慎
→ : 好的架構是很重要,但對小公司來講,獲利更重要
→ : 資安漏洞,客戶驗收有驗過嗎?有簽賠償條款嗎
→ : 接案公司講了應該也沒用,因為沒法跟客戶收錢154F 05/03 16:43
→ : 前幾篇還有人推接案公司,真的是害人。除非能力很強或155F 05/03 17:02
→ : 是真的沒門路才去試試看
→ : 雖然已現在的狀況來看大公司也有機會,但是機率相對小
→ : 至少有資安團隊會幹你
→ : 沒說接案公司不好,但是不推薦想走正路的新手
→ : 會非常痛,然後極小的機率才有機會屠龍
→ : 是真的沒門路才去試試看
→ : 雖然已現在的狀況來看大公司也有機會,但是機率相對小
→ : 至少有資安團隊會幹你
→ : 沒說接案公司不好,但是不推薦想走正路的新手
→ : 會非常痛,然後極小的機率才有機會屠龍
→ : 對寫c有幫助 基本函數名很多相同 一些用法也類似161F 05/03 17:57
→ : 寫java就很不一樣 目前沒有見過框架跟系統一致性強
→ : 的 都是亂封裝亂寫 凡事都是api解很可笑
→ : 寫java就很不一樣 目前沒有見過框架跟系統一致性強
→ : 的 都是亂封裝亂寫 凡事都是api解很可笑
→ : ….語言寫久寫多,會發現好用的function 都一樣。164F 05/03 18:05
→ : 不是跟c 很像而是中高階語言都這樣
→ : 不是跟c 很像而是中高階語言都這樣
→ : 當然公司的可以不用那麼較真 XD 之前寫的也沒有這樣166F 05/03 18:06
→ : 很多都很不一樣 去比就知道
→ : php對比它們來說相似度高多了 c其實也沒有那麼難寫
→ : 純脆是別人的嚇唬 c都可以傳函數當參數
→ : 很多都很不一樣 去比就知道
→ : php對比它們來說相似度高多了 c其實也沒有那麼難寫
→ : 純脆是別人的嚇唬 c都可以傳函數當參數
→ : …寫久就知道了,另外真的幫助不大。因為跨語言的重點170F 05/03 18:15
→ : 不在這邊
→ : 另外語法糖各語言不同,但是function 都差不多。
→ : C 不難寫….? 認真?是從那個架構上寫?
→ : 不在這邊
→ : 另外語法糖各語言不同,但是function 都差不多。
→ : C 不難寫….? 認真?是從那個架構上寫?
→ : 可以當入門磚這就夠了 php還可以寫更好174F 05/03 18:35
→ : c難的是那些底層的實現 本身沒有想像中的難 也可以
→ : 很動態
→ : c難的是那些底層的實現 本身沒有想像中的難 也可以
→ : 很動態
→ : …….177F 05/03 18:50
→ : 就是不管什麼語言你亂寫都很難了解與維護 就像本文178F 05/03 18:55
推 : 塊陶179F 05/03 20:05
推 : 跟上面提看要不要開ticket改善啊180F 05/03 21:57
推 : 推ssccg181F 05/03 22:48
→ : 其實不太意外 曾經駐點看過銀行系統的code 也是慘不忍睹182F 05/04 00:09
推 : 上報吧,不過我猜大概早就知道了,只是沒必要修而已畢竟183F 05/04 02:11
→ : 沒錢
→ : 沒錢
推 : 不建議改到時爆炸怎麼辦185F 05/04 03:08
→ : 薪水不高直接跑了吧
→ : 薪水不高直接跑了吧
噓 : 這篇是照妖鏡嗎?上面一堆回覆真是大開眼界,接案187F 05/04 08:35
→ : 公司的素質都是這樣嗎?
→ : 公司的素質都是這樣嗎?
→ : 有這種疑問是不是對市場不夠了解 還是活在理想中189F 05/04 08:50
→ : 光是一個http改https就可能讓系統掛掉 誰要承擔責任
→ : 光是一個http改https就可能讓系統掛掉 誰要承擔責任
推 : 恩 ....職場菜鳥191F 05/04 10:37
→ : 接案公司? 看過寫內部服務的程式嗎192F 05/04 11:02
推 : 甲方自己內部的技術債才精彩,乙方驗收一堆報告要交,原碼193F 05/04 12:02
→ : 掃描弱點掃描是基本的,現在連用的第三方套件1個月沒更新
→ : 或是版本不是最新版都要寫原因。
→ : 掃描弱點掃描是基本的,現在連用的第三方套件1個月沒更新
→ : 或是版本不是最新版都要寫原因。
推 : 你該不會以為只有你有發現嗎?196F 05/04 12:05
推 : 覺得公司其他人都知道,只是沒人要去理而已。如果197F 05/04 12:49
→ : 原PO很在意程式碼品質的話建議換家公司。
→ : 原PO很在意程式碼品質的話建議換家公司。
推 : 幹嘛回報 回報了還要修 快逃啊199F 05/04 13:41
→ : 身為軟體人還是要有基本的職業道德 deadline不是藉口
→ : 身為軟體人還是要有基本的職業道德 deadline不是藉口
推 : who car 直接快逃才是重點201F 05/04 14:39
--
※ 看板: Soft_Job 文章推薦值: 0 目前人氣: 0 累積人氣: 59
回列表(←)
分享