我要先聲明我不是為了哪邊聲援喔
W9fgoh3NkOleIzFyXa10uUVtPHSmsErbLv2ZCYGx
實在是因為看不下去想打嘴砲而已 (?
EAp6O041Krlymb5IDQ7uUCwqBPhYHZkJnj39FVes
zVELnWXlwu8pP106h4mSskRHMO3iKUre5qQIFZDx
這次事件很明顯是上次 囧 事件的延伸
NmVB4ug1er3Rj527OcovYZliQbtkCqUJayDGShEF
Lfnyj1MziBu0CdO3goVXwIUkPDE7NWvRKhtZeq5Q
but why?
E1IVjhlGFaqXZd9RegcCM0mk5HDywQzfpxLo2YUS
5sAt8lgmkRF1qvY3XB2a4INxQ0diPETp9rjLDfy6
為什麼一樣的事情會再而三地出現?
uFyVh7Es5LARvY2UW91iZewC6orQIfOGjzb3dal0
AfZSl240E5N3D7bWUcOMnIRrJmohKTHPjyY1VLFz
簡單說一下這次的手法
2fHJS7zealW08b9VC4gy3R5mdhcOik6YZPsBvoFq
根據調查之後、駭客使用的手法是
Uazt9K8sfvoWwBR2xMNO3nlILmY5DuecPkr6SXCE
很簡單的在留言中植入 javascript 就這樣而已
hprtuOMijQcx0d8Z9GRs6CWgLbT43BSenPYDaXzK
為什麼連續兩次 POPO 都被這打敗?
JzfxTwYBhmcU4SVGjAsiE0W7PODIrdtKlguFRyZ2
Ze0M1a7WjGRr82xDz5FkBtdJCcNEuS6UiHlfsnO9
說白一點
B8Rx5DnmfTkzZg7bNuXcWJPEaY1vhGOtlLC0Aso6
xkou3IMn8AiWjbL6Qha1YgE9p5FJNXcVfs02deGR
這個用 Ruby On Rails 架設的網站
S82k14jePiqKlox5uUwNRHY9cnf3QbIDyWMp7zrg
難道就只是因為開發快而不考慮細部的網站嗎?
K8CPgdmhoeO5n6kGjtfLxwUN1QvZ3rzEIiWH79J0
ZCqycXKIPUEF4S3ONtLGrQ1W8jmvB0fJnzYh2uwo
POPO 的工程師們妳們有想過 XSS 攻擊的危險性嗎?
nxSg7ERN2GqVrmIvTuD8HQOJoadyp03XcLeZhs1k
身為一個 RoR 的重度使用者對於這種事情出現而且是在大公司上面
zd2JVUhYZwuANbsXKSLvyiDxc6p0EfMGT1CBQkOR
看了真的很 ㄘㄟˋ 心
2aDUkZoVjdz3QB7FGsOfNr69Mt1JYCXm8TLyIbKe
可以拜託妳們好好的去使用 sanitize, strip_tags 這兩個函數
UOiRLWZCk5pzml78ygNDb6t2jfKTBvG0JVYo4sPH
可以嘛 Orz?
rKuDX1UFt3do8h5ikE9CBGsaSpcZLyq6YWHTnQ0z
Q1k5gperDmzR9YwfhC0Kjc3sHqPVT6BtGNOlWFJ7
然後回來看白帽
YkN7vbA48uwePQE36JzxjWVD0hL2XF5mtZBoalGg
真的、不得否認的是系統真的有漏洞
fouC14ZKGp5YsJQPrnwOeHdWTMtcNS3mRUkxFAvi
妳這樣子玩我知道妳也是希望官方會去注意到這件事情
toxghifmDNne0VJI8ZHq3UM7QG51WPKuE6aSYcsA
我相信妳自稱白帽就應該不會做出危害其他人的事情才對
wsGSpkNV8KIOAYgtRMb9iha26UvQEq5yoZ0JdFPT
Va0uFA3Crz7dWyHfeGIvPQJB4KhYnOSiqp1TwgR9
可是這樣子其實也會去影響到其他使用者、
o1TWXbfFGqU2y4nHkEIVMCBOpi0Dt59SwmvjRcru
我鼓勵妳去做協助系統安全的事情
fyqtJWKYLICcMnNgZ0RovVQX38kOmUxAerwzduTD
但是其實並不贊同這樣的做法
rGUuiFy5DMwIgRKZBp1P0YqvLxOQNVSWX6z9mjtJ
Vzteu41HXf0ZI8Fj2x3lrmwER5ySU9aMAJWPYQoN
其實應該還是有其他的方法可以協助 POPO 變得更好
epwdUNmXhERyYnvos2Siu7l6gFMTOkLPzHbrVqD9
例如去信說明一下妳發現的狀況
V0b6aDpChzqUPy3GdiIEROle9S1wT8tuj4nAcrK7
就算對方不理妳、
XEpK96TDrYQWM3Nl5qotaCykBfOHh8R4ZecFjzgV
這樣的行為還是不值得讚許的
5b7AmsaZCSgYwQnlUTdLKoutHXGRe1NVfWDqFv2P
C6UY3ancGIDNAyOXskdpZ7JKH4i2tQvbFwlBh1z5
當然我覺得兩邊都有錯
gtuPd1bK8kV9S43xa6BFyNchpODUqXJMn2wr7AzC
但是至少
xLUcPw7EKds5VeZ38yXzqIY1SlFWmbTCfAkghjin
POPO 又更進一步了 w
JbqiwmUguVTleavthX5fRn7yYQ4o093zdAZCsS6N
b8WMzHw9Lkx5Fy4fGnrUcAsgROC7JDXQjBKNvS62
再說一次我沒有要幫兩邊說話的意思
HrBDWx8SkolAewPjbai5NFhY2V6d9QyupZMnXCE0
(而且我說話哪有向其他PO主一樣有份量 XD 我只是個市井小民www)
f1O4awBiDjFXQNKREcZLrh3sm8Suxl6527zInCqy
pvZklRdEaIFWtroMKSG9sJLyHbQcATP2DnuCzf04
哇!原來你家也有發表......
哦!檢討檢討啦!
晚安~