SQL injection漏洞 該回報嗎

 作者: pichubaby (Pichu Chen) 看板: Soft_Job

標題: Re: 新手剛入職就發現有SQL injection漏洞 該回報嗎
時間: Wed May  3 23:45:03 2023

不好意思認真回一下

簽約前和簽約後做法不一樣，簽約後會有保密義務，雖然聽起來是公開程式碼但是
簽約後你不能把這個漏洞拿去 hitcon zeroday 換好寶寶章。

簽約前你可以拿去 hitcon zeroday，或者是回報給他們老闆，然後按碼錶，看多久會修
決定要不要待。

然後更好的做法是你可以打聽看看這個程式碼有哪些客戶使用，例如某公部門、某銀行、
某上市公司，之後直接打電話進該公司的資安主管部門和他們驗證，經驗上這樣會修的比
較快。

寫出漏洞不一定是問題，因為漏洞不一定會被發掘，有可能因為沒有人力Review或是價值
過低所以存放兩年都沒發現，CVE-2014-0160 Heartbeat 漏洞就是這類型的漏洞，你要說
OpenSSL 開發者不懂資安嗎? 嗯?

所以我的建議就是直接附上 POC 然後回報給他們老闆，我遇過的案例是老闆直接轉給客
服，由客服一步一步告訴我要怎麼做，最後我是我回報給他們客戶，附上POC，然後他們
也很有誠意的當晚漏夜把漏洞修掉。

那你從這個過程就會可以側面觀察出來你接下來是不是那個負責要漏夜把漏洞修掉的人。
以及這間公司對於漏洞回報的SOP到底是什麼，有沒有制度化，還是隕石雨的正在進行式?

原則上漏洞回報到公開，通常會有大概三個月左右的時間，即使是矽谷大手公司也是這樣
你道義上不能回報後24小時馬上就把漏洞細節公開，除非他和你說「這東西不是漏洞」
那你才可以直接公開。

為什麼會有這樣空窗期？因為照正常軟體開發流程，程式碼合併之前還是要做Review以及
測試，同時要確定同類型的漏洞(git blame)有同時修掉，所以如果他馬上就修掉發新版
本，很有可能代表他們沒有Review流程以及測試流程，接不接受見仁見智。

在空窗期營運團隊也不是什麼都不做首先是第一時間的修補以及查詢，常見的做法
是將有疑慮的功能先下架再說，這部部分通常是營運團隊要做的，但是也有可能規模
過小營運=開發=Devops，所以來不及反應。這部分你可以從幾點開始你沒辦法 Query
到資料庫來知道營運團隊目前反應速度如何。

再來是通知義務
個資法第十二條規定
公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應
查明後以適當方式通知當事人。

雖然我看目前上市的PC某和現在不知道球踢到哪裡的OO部好像還不曾通知過個資洩漏事件
所以這部分如果該公司有做，說明這個企業主對於社會責任是很重視的。
只是有沒有通知這件事情如果他只做2B，應該不好觀察。

另外還有一個有趣的東西可以觀察，該公司文化會不會懲處寫出Bug的工程師。
我有聽說過有些公司會，這種千萬不要待，一點意義都沒有。

--
此篇文章以 CC BY-SA 4.0 發表。

咖啡是一種豆漿，
茶是一種蔬菜湯。


--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 150.117.165.81 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1683128723.A.12E.html
 [1;37m推  [33mabccbaandy [m [33m: 推最後一段，bug數當績效根本笑死                     [m 05/03 23:53
 [1;37m推  [33me12518166339 [m [33m: 認真回不用不好意思！                              [m 05/04 00:53
 [1;37m推  [33myumekanau [m [33m: 感謝分享                                             [m 05/04 05:18
 [1;31m→  [33msuperpandal [m [33m: 最後的就是程式碼亂七八糟還要求別人不寫出bug 給老   [m 05/04 05:38
 [1;31m→  [33msuperpandal [m [33m: 屁股整人用的                                       [m 05/04 05:40
 [1;31m→  [33msuperpandal [m [33m: 但先前不控制質量 後來才搞一堆有的沒的不是很可取    [m 05/04 05:51
 [1;31m→  [33msuperpandal [m [33m: 整到很好維護後面就可以盡量休息了 不好嗎 XD         [m 05/04 06:08
 [1;37m推  [33mtgyhuj01 [m [33m: 回樓上 非接案性質當然好 但接案的常常一個人可能有多個  [m 05/04 07:26
 [1;31m→  [33mtgyhuj01 [m [33m: 案子同時在run 沒有做到好就有時間休息這種事 所以才說   [m 05/04 07:26
 [1;31m→  [33mtgyhuj01 [m [33m: 不要用自家產品的思維去看接案                          [m 05/04 07:26
 [1;37m推  [33ms06yji3 [m [33m: 非接案性質也是會同時跑多個案子...                      [m 05/04 08:38
 [1;37m推  [33mEQspb [m [33m: 推 感謝大大分享                                          [m 05/04 09:03
 [1;31m→  [33mleolarrel [m [33m: 我很怕tgyhuj01這種觀念的人當上RD大主管,恐怖,到處埋   [m 05/04 09:41
 [1;31m→  [33mleolarrel [m [33m: 雷然後推給沒時間                                     [m 05/04 09:42
 [1;31m→  [33mleolarrel [m [33m: 接案公司有接案公司維持品質的方法,而不是埋雷給他爛    [m 05/04 09:43
 [1;31m→  [33mtgyhuj01 [m [33m: 不同位置環境不同做法 這麼不會變通嗎                   [m 05/04 09:44
 [1;31m→  [33mleolarrel [m [33m: 你的變通就是放爛品質?                                [m 05/04 09:45
 [1;31m→  [33mtgyhuj01 [m [33m: 希望你真的是不管什麼環境都始終如一 而不是說得漂亮     [m 05/04 09:45
 [1;31m→  [33mtgyhuj01 [m [33m: 說漂亮話大家都會 現實能做到才是真的                   [m 05/04 09:46
 [1;31m→  [33mleolarrel [m [33m: 你不認識我所以認為我只是說說那也合理.但業界上不只是  [m 05/04 09:48
 [1;31m→  [33mleolarrel [m [33m: 說而是真的做得到的大有人在只是你不認識而已,ptt強人   [m 05/04 09:48
 [1;31m→  [33mleolarrel [m [33m: 很多,你是不是先檢討自己一下                          [m 05/04 09:48
 [1;31m→  [33mtgyhuj01 [m [33m: 這種東西需要強人才能做到嗎? 我已經說了環境和位置不同  [m 05/04 09:49
 [1;31m→  [33mleolarrel [m [33m: 沒認識那些做得到的人就以為現實上做不到,笑死          [m 05/04 09:49
 [1;31m→  [33mtgyhuj01 [m [33m: 很難理解嗎 說現實一點就是沒錢還要求品質 慈善事業嗎    [m 05/04 09:50
 [1;31m→  [33mleolarrel [m [33m: 環境咧,位置咧,不就是沒能力的藉口而已                 [m 05/04 09:50
 [1;31m→  [33mtgyhuj01 [m [33m: 對 像你說的都做得到 所以現實上一堆爛系統都是哪來的    [m 05/04 09:51
 [1;31m→  [33mtgyhuj01 [m [33m: 麻煩你趕快去改善 不要在這裡用說的                     [m 05/04 09:51
 [1;31m→  [33mleolarrel [m [33m: 你們這些找藉口的RD來的啊                             [m 05/04 09:51
 [1;31m→  [33mtgyhuj01 [m [33m: 不做就等於沒能力 你的理解真狹隘                       [m 05/04 09:52
 [1;31m→  [33mtgyhuj01 [m [33m: 希望你做事真的如你所說 隨時全力以赴                   [m 05/04 09:52
 [1;31m→  [33mtgyhuj01 [m [33m: 不是只有在嘴巴上全力以赴                              [m 05/04 09:52
 [1;31m→  [33mleolarrel [m [33m: 先是找一堆藉口,然後再攻擊別人耍嘴皮,還有什麼招?      [m 05/04 09:58
 [1;31m→  [33mtgyhuj01 [m [33m: 好啦 你是大聖人 我都是找藉口 你很強很認真 心口如一    [m 05/04 10:00
 [1;31m→  [33mtgyhuj01 [m [33m: 動不動就先質疑人家沒能力的 再說別人攻擊你 人性如此    [m 05/04 10:02
 [1;31m→  [33mtgyhuj01 [m [33m: 說的好像自己真的每個案子不管條件如何都做得很完善一樣  [m 05/04 10:04
 [1;31m→  [33myamagishi [m [33m: 先不說重構的成本，你舊的 code 有動到就需要跑一次 te  [m 05/04 10:06
 [1;31m→  [33myamagishi [m [33m: st 了                                                [m 05/04 10:06
 [1;31m→  [33myamagishi [m [33m: 有在做 CI/CD 要改當然是沒問題，沒有的情況就不只你一  [m 05/04 10:06
 [1;31m→  [33myamagishi [m [33m: 個人的問題了                                         [m 05/04 10:06
 [1;31m→  [33myamagishi [m [33m: 全新的東西的話當然是建議拋棄歷史包袱                 [m 05/04 10:08
 [1;37m推  [33mluke72 [m [33m: 看一些菜味有夠濃的在那邊嗆，真有趣                      [m 05/04 10:13
 [1;31m→  [33mluke72 [m [33m: 前公司也有這種半桶水菜鳥，什麼都說要打掉重做            [m 05/04 10:15
 [1;31m→  [33macgotaku [m [33m: 哥 你有想過甲商可能只是小商家或外包已經三包四包出來   [m 05/04 10:15
 [1;31m→  [33mluke72 [m [33m: 宣稱各種仙丹用了萬事搞定，真的給他做就各種爆炸          [m 05/04 10:16
 [1;31m→  [33macgotaku [m [33m: 外包公司也沒什麼利潤好賺,甲方也早就沒再用或收起來了   [m 05/04 10:17
 [1;31m→  [33macgotaku [m [33m: 說不定尾款都還欠著給不出來,外包公司就是這麼屎         [m 05/04 10:18
 [1;31m→  [33macgotaku [m [33m: 興致勃勃去改這種東西,就像你學弟揪著你的畢業論文說     [m 05/04 10:19
 [1;31m→  [33macgotaku [m [33m: 你寫這爛貨為什麼教授讓你畢業 你給我回來實驗室重寫喔   [m 05/04 10:20