※ 本文為 ott 轉寄自 ptt.cc 更新時間: 2014-08-23 16:08:06
看板 Gossiping
作者 TonyQ (自立而後立人)
標題 Re: [爆卦] 豬友會完爆柯B官網???
時間 Sat Aug 23 06:42:45 2014


※ 引述《andy580707 (紅色禮物)》之銘言:
: 柯P官網也被駭惹
: 好多篇新聞都有這個連結
: http://ppt.cc/XfFC
: 看來柯P露得比較多呀
: https://www.youtube.com/watch?v=YSo7JbwbvIw
啵! 夏綠蒂上的愛 - 首部曲 縫縫相連到天邊之柯BB露很大。 - YouTube 連勝文加油唷!! 我們幫你抵擋柯P伯伯的 __ __ 步! 大家都要乖乖選舉唷~~ 不要玩賤招~~ My縫(羞) 大家都有啦~~

 
: 附上完整影片
: 板凳雞排買好了嗎??

        順便來作點科普教育好了,
        其實網站的弱點跟每個使用者來講是非常切身的。

        多講一點是一點。

        --------------------------


        基本上這是所謂的弱點掃描 (vulnerability scanner),
        也就是因為網路上有許多網站是用現成的 framework,

        這些 framework 也是人寫的,用的人多自然就會有人鑽門研究他們的弱點。


        --------------


        以柯文哲來講是部份看起來是自己從頭做的,
        也有一部分是用 wordpress (原始碼看得出來)。

        (至於怎麼看,基本上你看原始碼,
          有出現 wp-content 就是 wordpress 體系了。
          看外觀不準,因為都可以大幅修改外觀,
          像 http://kptaipei.tw 就是個例子。)

        連勝文網站據說是 joomla 為主。


        --------------


        然後這些掃描程式就會針對這類 CMS 去進行內容掃描,
        但有幾個問題,大多數的弱點掃描是所謂「看到黑影就開槍」。


        所以文中才需要分 low 、medium、hight ,
        三種不同風險(risk) 的 vulnerability (弱點),

        這個東西主要要看 high risk 的,為什麼呢?


        舉個例子影片中的 low risk ,大家仔細看可以看到這張圖。
        http://imgur.com/x03MHNk
[圖]
 


        其中提到

        * possible sensitivity files (可能的敏感檔案)

          並以這個為例
          http://kptaipei.tw/wp-content/themes/namo/readme.txt

          其實這是所謂的 theme (樣板)介紹,一點也不敏感。

          只是它透過掃(或猜測)所有公開在網路上的 url ,找到這個檔案而已。


          在 wordpress 上使用樣板,
          留下介紹以表達支持樣板或之類的也不是什麼罪大惡極的事情。XD


        --------------

        medium  裡面其實也看起來都是針對所謂「加密連線」的抱怨,
        但沒有作金流、沒有作一般會員系統,要不要採用加密連線、我覺得還好。


        柯文哲團隊很顯然很瞭解 SSL 是怎麼回事,
        因為政治獻金網站就有強迫使用 SSL  。

        https://donate.kptaipei.tw/
改變台灣 從首都開始 | 柯文哲募款網站
[圖]
柯文哲政治獻金募款網站。提供信用卡線上簽帳、ATM虛擬帳號轉帳、便利商店繳費等便利捐款方式。請詳閱說明事項以符合政治獻金法規定。 ...

 


        --------------

        至於比較重要的 high-risk 裡面宣稱的 blind sql injection ,
        rss2 跟 admin-ajax.php ,剛用資料庫基本的作法測了一下是沒發現問題。


        考慮到有些 vulnerability scanner 會針對歷史 vulnerability 看到就開箱,
        也傾向認為是誤判。

        (這個檔案有個一樣的弱點 2008 年有被提出來過,
         後來 wordpress 在後續版本有提出修正。       )


        ---------------


        當然如同前面版友推文說得,就算退一萬步真的有 vulnerability ,

        因為每個 vulnerability 需要的條件不一樣,
        有沒有機會被打進去都是個問題。


        如果有人有測到進一步的弱點也可以提出來討論,
        或寫信給柯 p 讓柯p 改進。 open@kptaipei.tw


        就連大網站如 facebook 也是常常被找到弱點,
        還有所謂的弱點懸賞計畫。


        資訊安全這個問題其實還是有賴全民資安意識的養成。

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.166.151.99
※ 文章網址: http://www.ptt.cc/bbs/Gossiping/M.1408747367.A.71C.html
※ 編輯: TonyQ (118.166.151.99), 08/23/2014 06:43:48
※ 編輯: TonyQ (118.166.151.99), 08/23/2014 06:45:20
fkdds: 專業 推1F 08/23 06:46
tn00706223: ...看不懂 推2F 08/23 06:46

        簡言之弱點掃描是一種類似防毒軟體的存在,
        而且是比防毒軟體還積極很多(寧可誤殺不可錯放萬一)的存在。

        有些是資訊領域裡面有些事情是專業人比較算是苛求的領域,
        有些則根本不是問題。

        而且防毒軟體掃出來的毒檔不一定真的有毒,
        就算真的有毒不要蠢到去執行也不一定會毒發,

        這個比方應該好懂一點。

※ 編輯: TonyQ (118.166.151.99), 08/23/2014 06:50:35
palt: 不推人家會說我們不懂~~推3F 08/23 06:49
slent67: 跟我想的一樣4F 08/23 06:51
※ 編輯: TonyQ (118.166.151.99), 08/23/2014 06:52:42
rhox: 看不懂啦,講英文好嗎 (?)5F 08/23 06:52

        It's just "possible" risks and most of them could
        be considered a FALSE ALARM.

※ 編輯: TonyQ (118.166.151.99), 08/23/2014 06:54:07
preisner: 重點是連自己網站沒關閉debug mode,又沒做error handle6F 08/23 06:55
preisner: 然後就到處說對方駭他,真是不要臉的賤!


        不過那些錯資訊圈的一些資歷不夠的人是真的蠻容易犯的,
        我個人是會覺得這個議題過去了就好了。

        反正這些錯也很容易被修正,
        相信連勝文團隊這些事件後會多加強一點基礎知識跟資訊素養啊。


        這是資訊安全的素養,但跟被 crack 還是有點距離、還是屬於兩碼子事。


        我的定義是沒有被偷走資料(dump data) 、被打到 sql (sql injection)
        或被取得 server 管理/操作權(root access 或 remote execution) ,

        都還算不上 crack。

        最最基本也該至少有個 XSS 再來宣稱是 crack。:Q


        當然,站在一般使用者的角度上,
        我是覺得不見得應該試著去找這些安全問題啦。

        像我自己就是完全沒有想去踹連的興趣。


        對了,上面講得,正常來說,
        一般有認真從業網站開發的人、三四年經歷以上就該都知道了。


        不是什麼很高深的東西。


mmrhahaha: 就有人測試柯P官網,找到疑似漏洞的地方就說駭客成功8F 08/23 07:02
mmrhahaha: 雖然毫無成果,但是這種碰上黑影就開槍不愧是689
※ 編輯: TonyQ (118.166.151.99), 08/23/2014 07:05:03
ererer 
ererer: 柯P的網站我連點都懶10F 08/23 07:06

        拒絕參與政治的結果就是被糟糕的人統治,共勉之。
※ 編輯: TonyQ (118.166.151.99), 08/23/2014 07:09:39
Riya520: 不要跟er認真, 專門反串11F 08/23 07:13
allnation: 高手..等等,這不是軟體版的版主..高中學歷定爆一堆人12F 08/23 07:22
allen501pc: 嗯嗯,真的不是很高深。但我超討厭這個漏洞檢測機制。13F 08/23 07:25
TonyQ: 哈,exploit scanner 有時候真的會找到很多 FALSE ALARM14F 08/23 07:27
TonyQ: 然後蠢客戶就會一個個來找你修到 0 warning。=_=
allen501pc: 有時候找到的漏洞,真的不是網頁程式開發人員可以控16F 08/23 07:27
yukosakura: 專業給推 自己網站爛說別人駭 對待救命恩人也不是這樣17F 08/23 07:27
TonyQ: 反而讓程式寫得更複雜別人看不懂,只為一個不是問題的警告18F 08/23 07:27
allen501pc: 制的(例如apache),客戶又很盧。19F 08/23 07:28
yukosakura: 高下立判 連勝文格調完全低到不行20F 08/23 07:28
babyMclaren: 推長知識21F 08/23 07:28
TonyQ: 舉個例子,有套檢測軟體只要是吃參數 redirect 都會叫22F 08/23 07:29
TonyQ: 怕 open redirect 問題,一定要照他的某個 pattern 才會過
TonyQ: 問題是那個 pattern 沒辦法處理所有情境。=_=
allen501pc: 哈哈,只好推說盡力了,是那軟體一直報錯。25F 08/23 07:30
TonyQ: 跟跑程式碼品質鑑定軟體限制 function 只能寫七行一樣蠢。26F 08/23 07:30
max123: 看不懂啦 用日文解釋一下27F 08/23 07:34

        残念ですね,私はできません。

Leeng: 還不都是外包的28F 08/23 07:38

        我看不出來是不是外包欸,您這麼厲害看得出來,
        教一下怎麼鑑定是外包還是聘用的?


        順便分享一下就我所知,什麼是外包跟什麼是僱用。

        一般來講外包的典型特色就是反應慢、開發時間久,
        成品通常會比預期的還來得糟糕一點,


        另外合約價格相比會比 in-house 貴不少,
        所以才會有外包是花錢了事的說法,


        但業界來講,除非是一次性或短期專案不然不會鼓勵外包,

        另外就算是一次性專案跟短期專案,
        外包也常常會因為溝通不良而容易作不出自己要的東西。


        外包跟所謂 in-house 僱用的界線,
        主要差異點在合約類型是 by 事或 by 人跟配合度。

        (大多數外包都是包專案跟包專案維護,
          很少在包人的、那通常會稱為派遣了,

          僱用也有分正職無期限跟期約僱用。)


        當然也有可能有很配合很積極的外包,但比例上是相對少很多的。


※ 編輯: TonyQ (118.166.151.99), 08/23/2014 07:45:14
※ 編輯: TonyQ (118.166.151.99), 08/23/2014 07:46:36
danieo:29F 08/23 07:49
hirokofan: 網站應用程式弱點掃描也有可能誤判,我就碰過比較老式30F 08/23 07:49
aa1477888: 我認為都有心去做API了不會只有外包而已XD31F 08/23 07:49
hirokofan: 的隨機頁面被偵測成有SQL INJECTION漏洞32F 08/23 07:50
anper: 高手推,雖然完全看不懂33F 08/23 08:00
palt: 他們會用豬的邏輯攻擊你~~然後將你擊敗~~34F 08/23 08:04
joety1103: 這篇好文竟然沒暴!!35F 08/23 08:15
kipi91718: 資工小弟推36F 08/23 08:24
debian99: 專業不打臉文37F 08/23 08:26
※ 編輯: TonyQ (118.166.151.99), 08/23/2014 08:30:47
badguy666: 看不懂。。。38F 08/23 08:33
gn00063172: 感謝解說~39F 08/23 08:38
carolsp: 長知識推。40F 08/23 08:39
akira78724: 推41F 08/23 08:42
waterstone:42F 08/23 08:45
datro: 推!! 可以用德文講一下嗎? (被打)43F 08/23 08:49

        ik zal niet

sharkimage: 推推44F 08/23 08:52
allen501pc: 外包一次性專案,開放API並不常見。45F 08/23 09:00
vi000246: 手機不能看原始碼 想問是哪裡用到wordpress46F 08/23 09:22
allen501pc: 有wp-content目錄。47F 08/23 09:25
MIKEmike07: 推 專業48F 08/23 09:30
TonyQ: @vi000246 目前主要就 kptaipei.tw 是 wordpress49F 08/23 09:34
sharkimage: Push50F 08/23 09:36
reaper8046: 我用那軟體分析神豬的 進度19/143 低風險已經7xx個了51F 08/23 09:38
JerryGreen:  推52F 08/23 09:45
joesarira:53F 08/23 09:47
CuteRoach: 回硬的認真 給推 不過可以用俄文講一下嗎?54F 08/23 10:00

        Я не буду

unidon:55F 08/23 10:13
honercek:56F 08/23 11:06
palindromes: 專業推57F 08/23 12:06
shuntroy: 看不懂啦,不能用韓文說一下嗎??58F 08/23 13:27

        ??

        你們是來整我的吧 T_T
※ 編輯: TonyQ (118.166.151.99), 08/23/2014 14:41:27
urban009: 推 可用台語嗎59F 08/23 16:01

--
※ 看板: ott 文章推薦值: 1 目前人氣: 0 累積人氣: 1903 
※ 本文也出現在看板: Gossiping
分享網址: 複製 已複製
( ̄︶ ̄)b fsvc 說讚!
1樓 時間: 2014-08-23 16:54:53 (台灣)
  08-23 16:54 TW
韓:취약점 스캐너 台:抓漏 ^O^
guest
x)推文 r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇