白帽駭客事件應該要有的省思(?

我要先聲明我不是為了哪邊聲援喔

W9fgoh3NkOleIzFyXa10uUVtPHSmsErbLv2ZCYGx

實在是因為看不下去想打嘴砲而已   (?

EAp6O041Krlymb5IDQ7uUCwqBPhYHZkJnj39FVes

zVELnWXlwu8pP106h4mSskRHMO3iKUre5qQIFZDx

這次事件很明顯是上次   囧   事件的延伸

NmVB4ug1er3Rj527OcovYZliQbtkCqUJayDGShEF

Lfnyj1MziBu0CdO3goVXwIUkPDE7NWvRKhtZeq5Q

but   why?

E1IVjhlGFaqXZd9RegcCM0mk5HDywQzfpxLo2YUS

5sAt8lgmkRF1qvY3XB2a4INxQ0diPETp9rjLDfy6

為什麼一樣的事情會再而三地出現?

uFyVh7Es5LARvY2UW91iZewC6orQIfOGjzb3dal0

AfZSl240E5N3D7bWUcOMnIRrJmohKTHPjyY1VLFz

簡單說一下這次的手法

2fHJS7zealW08b9VC4gy3R5mdhcOik6YZPsBvoFq

根據調查之後、駭客使用的手法是

Uazt9K8sfvoWwBR2xMNO3nlILmY5DuecPkr6SXCE

很簡單的在留言中植入   javascript   就這樣而已

hprtuOMijQcx0d8Z9GRs6CWgLbT43BSenPYDaXzK

為什麼連續兩次   POPO   都被這打敗?

JzfxTwYBhmcU4SVGjAsiE0W7PODIrdtKlguFRyZ2

Ze0M1a7WjGRr82xDz5FkBtdJCcNEuS6UiHlfsnO9

說白一點

B8Rx5DnmfTkzZg7bNuXcWJPEaY1vhGOtlLC0Aso6

xkou3IMn8AiWjbL6Qha1YgE9p5FJNXcVfs02deGR

這個用   Ruby   On   Rails   架設的網站

S82k14jePiqKlox5uUwNRHY9cnf3QbIDyWMp7zrg

難道就只是因為開發快而不考慮細部的網站嗎?

K8CPgdmhoeO5n6kGjtfLxwUN1QvZ3rzEIiWH79J0

ZCqycXKIPUEF4S3ONtLGrQ1W8jmvB0fJnzYh2uwo

POPO   的工程師們妳們有想過   XSS   攻擊的危險性嗎?

nxSg7ERN2GqVrmIvTuD8HQOJoadyp03XcLeZhs1k

身為一個   RoR   的重度使用者對於這種事情出現而且是在大公司上面

zd2JVUhYZwuANbsXKSLvyiDxc6p0EfMGT1CBQkOR

看了真的很   ㄘㄟˋ   心

2aDUkZoVjdz3QB7FGsOfNr69Mt1JYCXm8TLyIbKe

可以拜託妳們好好的去使用   sanitize,   strip_tags   這兩個函數

UOiRLWZCk5pzml78ygNDb6t2jfKTBvG0JVYo4sPH

可以嘛   Orz?

rKuDX1UFt3do8h5ikE9CBGsaSpcZLyq6YWHTnQ0z

Q1k5gperDmzR9YwfhC0Kjc3sHqPVT6BtGNOlWFJ7

然後回來看白帽

YkN7vbA48uwePQE36JzxjWVD0hL2XF5mtZBoalGg

真的、不得否認的是系統真的有漏洞

fouC14ZKGp5YsJQPrnwOeHdWTMtcNS3mRUkxFAvi

妳這樣子玩我知道妳也是希望官方會去注意到這件事情

toxghifmDNne0VJI8ZHq3UM7QG51WPKuE6aSYcsA

我相信妳自稱白帽就應該不會做出危害其他人的事情才對

wsGSpkNV8KIOAYgtRMb9iha26UvQEq5yoZ0JdFPT

Va0uFA3Crz7dWyHfeGIvPQJB4KhYnOSiqp1TwgR9

可是這樣子其實也會去影響到其他使用者、

o1TWXbfFGqU2y4nHkEIVMCBOpi0Dt59SwmvjRcru

我鼓勵妳去做協助系統安全的事情

fyqtJWKYLICcMnNgZ0RovVQX38kOmUxAerwzduTD

但是其實並不贊同這樣的做法

rGUuiFy5DMwIgRKZBp1P0YqvLxOQNVSWX6z9mjtJ

Vzteu41HXf0ZI8Fj2x3lrmwER5ySU9aMAJWPYQoN

其實應該還是有其他的方法可以協助   POPO   變得更好

epwdUNmXhERyYnvos2Siu7l6gFMTOkLPzHbrVqD9

例如去信說明一下妳發現的狀況

V0b6aDpChzqUPy3GdiIEROle9S1wT8tuj4nAcrK7

就算對方不理妳、

XEpK96TDrYQWM3Nl5qotaCykBfOHh8R4ZecFjzgV

這樣的行為還是不值得讚許的

5b7AmsaZCSgYwQnlUTdLKoutHXGRe1NVfWDqFv2P

C6UY3ancGIDNAyOXskdpZ7JKH4i2tQvbFwlBh1z5

當然我覺得兩邊都有錯

gtuPd1bK8kV9S43xa6BFyNchpODUqXJMn2wr7AzC

但是至少

xLUcPw7EKds5VeZ38yXzqIY1SlFWmbTCfAkghjin

POPO   又更進一步了   w

JbqiwmUguVTleavthX5fRn7yYQ4o093zdAZCsS6N

b8WMzHw9Lkx5Fy4fGnrUcAsgROC7JDXQjBKNvS62

再說一次我沒有要幫兩邊說話的意思

HrBDWx8SkolAewPjbai5NFhY2V6d9QyupZMnXCE0

(而且我說話哪有向其他PO主一樣有份量   XD   我只是個市井小民www)

f1O4awBiDjFXQNKREcZLrh3sm8Suxl6527zInCqy

pvZklRdEaIFWtroMKSG9sJLyHbQcATP2DnuCzf04