白帽駭客事件應該要有的省思(?

我要先聲明我不是為了哪邊聲援喔

Ur7WhXgyeINjqpibulmYf0vEzcQtFnJaS95RVTdM

實在是因為看不下去想打嘴砲而已   (?

MNF297eODwCjWyR0dzc18QBsg3fopaVELYUGZJSu

sI64NGzXMDWhowcFTvdxbL30KkeqaiSgj7RZJH9P

這次事件很明顯是上次   囧   事件的延伸

HS7nXZK3gpAP5TR21vx4dro0WU98iuhNGLQJVzYe

U1m3ROQanHbkCTgYIAj2qy8dxKJtLlo7X4ZsM6Sr

but   why?

SVDPtJqEnvOFfbHhKi5Qcea32gzrMGu4IypZUR0W

c0b3F8s9T54tQMalHGjwKIiVuLnAOpNqyJPkhrgX

為什麼一樣的事情會再而三地出現?

yzYKt2516J8SbDmQhsaM7NI0nCLGxjuAlgPqvcRo

0Uz2RbYt5kXmsWEMGyFLladfpDvJT6KBcowZeC1u

簡單說一下這次的手法

AhE1YGMIo6PXSuZ7cCFrp8QUKiafq5VDmwgHdT2s

根據調查之後、駭客使用的手法是

7otLCxHB9482FPI5u0JGyDXYdpihmAVS3wcjnfzQ

很簡單的在留言中植入   javascript   就這樣而已

Lk1v28wny5EHxfz3CtlTjihqB9RcW0gNGUApOX4e

為什麼連續兩次   POPO   都被這打敗?

CHYnlwZzVLj1RkEv2qM6uxU04ceabATog73OPSJQ

sJ0unIrUbdVWtB73kwyFMpLgxCY6lcP98e4DzNHm

說白一點

YSvqt6AzuC0mXiQVfp5oE1bKPhUFLHkRWjgxIy42

COSTWetgIpfENmcP8kX7vAj2waJF93UM0b1GLRHV

這個用   Ruby   On   Rails   架設的網站

DM2asxXkGp8vdBhCejE7yuLSVQotYA9lciNPHF4g

難道就只是因為開發快而不考慮細部的網站嗎?

PCyjJzwO0qhaZAcUFlrpdKET894m3sxY1oWMBkib

5FZuEYewUL8cQgzo41jApIWCxvqlVaMKik7tJXsf

POPO   的工程師們妳們有想過   XSS   攻擊的危險性嗎?

JmBg12uCtZcYqp36LzVSWaw0OiURh7IxeGnryfos

身為一個   RoR   的重度使用者對於這種事情出現而且是在大公司上面

Z5ESJGr68vjcLRlhAg7nox2aDempsF9Q1bWHtdIK

看了真的很   ㄘㄟˋ   心

JNT1tCOSkHbXF8GIuRD9xEZ7v4w35zY0ngMsPoWj

可以拜託妳們好好的去使用   sanitize,   strip_tags   這兩個函數

nDNKpu6eCiMTbZ1Gco8lJgEVwL2PaO4AXqdtRj3W

可以嘛   Orz?

j49TEPFwZB6LSudtsYoKevHhJ2U3MgnxApDcXr1I

o5yf8Gjp2gFr9ZzsWI7T0nu4mibROPwXQBVLah6d

然後回來看白帽

Pma8RyJLwBlikh9N6vb1QXcI0zxAVTdOgMqpFeY3

真的、不得否認的是系統真的有漏洞

KLNOFQHvXmlPhBd1z5SD0xj7IuwctRn8Zpgif4ay

妳這樣子玩我知道妳也是希望官方會去注意到這件事情

BNG3hrjtxSJFoCOkbeZX59AymVY26WlRTM0fL8sc

我相信妳自稱白帽就應該不會做出危害其他人的事情才對

FqyoRn514dZLVuJlNmKXBgG2abAkzUpCc3vtfOWs

tmjxawEsNy7KBig8lOMTcWU15d6IhoGkFvL4Y9bu

可是這樣子其實也會去影響到其他使用者、

iPMcfzHExVFUd1NIQ2RjhSy5nXsLok4J03tpquWY

我鼓勵妳去做協助系統安全的事情

BIgZLEUv2lqnrhY1NGRkJPT369eQzWAospiKcDbu

但是其實並不贊同這樣的做法

PENqAlSMXbd2z1QkUV8vBsZL39Wx4DmFYriyngfT

Q3umO5DIiEg4Cxc0lowdhWAnVJU7zSXRFq21kjbT

其實應該還是有其他的方法可以協助   POPO   變得更好

oqUdOYZmn3rSCNTAlaI4GJ8VvDgs7cEefxiFuP9t

例如去信說明一下妳發現的狀況

LmBARxV4oZPT295KudheX6i8GCgqaH7bJWS0wpEf

就算對方不理妳、

4pbmri9EB2v7wgGWPyKzToYDRAl0U35ednaNjMF6

這樣的行為還是不值得讚許的

ZgnqdzG1ojA4TJOM9Iv7sW0XHmuPUDBFlfxrVekY

ze8y5xLFgnhEMT9d167XGYm2vwkZJtoNV3uqIC4j

當然我覺得兩邊都有錯

GEXgBST5vMKds7b4r8jo0qQWuitwOk2lJIAF6Pna

但是至少

RcyM38n6moTpGlWbgfsvZ9FVChSJLra0dq1zxXiI

POPO   又更進一步了   w

9PqGKLyVuspZQHE5CFn6zwARolhjmU1YO2tvM7DW

ea8XUGRA3D702iyz6PxnlOBjvEubVJTf5qpgoSwN

再說一次我沒有要幫兩邊說話的意思

pjXHobW0tx5qC3VzBFwAysgcZelDLrTQdOaN1hnM

(而且我說話哪有向其他PO主一樣有份量   XD   我只是個市井小民www)

Vzvfi20OJZs86mCNWHBubhXtQgI4renAMjxwLS5Y

cAam39osxQGn7ergbY5D6KWR2kPi4lIZ0ut1zhqB