關於一個網管工程師的心聲…
2008 年 05 月 12 日 – 14:37:45上星期四收到一封電子郵件,內容是要求我把某些文章撤掉,但被我拒絕了,以下是郵件的內容 (請不要問我是哪家公司):
邱老師 您好,
謝謝您發現我們公司網頁的XSS安全漏洞,
小弟是負責維護此網頁的人員, 在知道後有立即修改,
但您公布的網頁被上面主管知道了, 小弟面臨被開除的危機,
所以寫了這封信向你請求, 是不是可以請您將發布的網頁關閉,
我知道這個請求有點失禮, 請您能幫幫我, 希望能補救保住工作.
謝謝您閱讀這封信,
祝 順心
我的回應如下所列:
- 如果文章已經公佈,就無法撤掉,除非是誤判。
- 網站被發現有安全漏洞,並不是一件可恥的事,可恥的是企業想掩蓋真相、粉飾太平。如果企業對於安全漏洞處理得當的話,反而會增加客戶對企業的信賴,因為他們危機事件處理能力很好,讓客戶明白整個事件的處理情形。
- 對於您的主管,我不知道要說什麼呢?
- 對於您,我真的很抱歉。
最後,如果我對台灣資安環境徹底失望的話,我就會停止在這裡寫文章。
“關於一個網管工程師的心聲…” 目前有 52 迴響
真不知該如何說…如果真的開除應該可以反告公司吧!!
否則台灣不知有多少工程師要走路。
另外…如果公司的PC中毒,MIS或使用者是不是也要有人走路呢?防毒軟體公司是不是也該負責?資安防護設備廠商咧?…XD
哪條法規咧??業務過失??…XD
有沒法律人可以講解一下…
By Crane on 2008 年 05 月 12 日 - 16:05:44
只能說現行很多公司採責任制度
沒有於任內將工作完成,必定會受到處分
但是該不該開除員工,可能就看公司的處理方式
以我觀點來說,如公司機密遭到竊取可能就會開除
但是如果只是漏洞,盡快修補改進就可
畢竟誰能無錯呢?能改才是重點吧
By 大頭 on 2008 年 05 月 12 日 - 16:14:18
我若是當網管,當然第一個封鎖公司的大砲論壇網站,email
中若夾雜大砲論壇的網址,也一律封鎖,這樣才是萬無一失之策啊…科科
By 路人 on 2008 年 05 月 12 日 - 16:16:43
這太誇張了` 如果當真這樣被開除
那全台資訊人口應該會大搬風
鐵定是主管督導不周 順便拔階吧
大公司都沒會改xss了~ 真是ooxx
By tamadox on 2008 年 05 月 12 日 - 17:14:20
針對這種主管,如果他真的狠心把一個小網管開除,建議這位網管,你也不用客氣,反正已經扯破臉了,乾脆以其人之道還治其人之身,去RSA告這間沒道義的公司使用無版權軟體(相信我,告成的機會很高),賺它個一筆當做公司對不起你的資遣費。
不要說我狠,而是這種公司/主管太可惡,不分青紅皂白亂開除人。
By 史考特 on 2008 年 05 月 12 日 - 18:00:15
沒有100%的IT防護方法,公司平時就應該要有這種體認才是。
By Alvin on 2008 年 05 月 12 日 - 18:56:48
這位鋼管工程師說的很可能是真的
就算不開除,對考績也勢必有嚴重的影響
在這家公司的未來發展性可想而知
至於要告公司使用未授權軟體,那成功機率微乎其微
因為BSA其實都是傾向請公司補版權,然後以查無實據為由拒發獎金
現在BSA只剩兩種方案:
A.獎金3萬:檢舉人要具名出庭指證對方公司使用盜版,被檢舉公司看得到你
B.獎金1萬:檢舉人採匿名,被檢舉公司看不到你
By 晴樹 on 2008 年 05 月 12 日 - 19:42:28
對於台灣的資安情況
漏洞真是太多了
近幾年有好轉一點點
希望以後可以越來越注重
By Ethicalhack on 2008 年 05 月 12 日 - 20:43:37
網頁的XSS安全漏洞
這個和網管有什麼關係,明明就是網頁的漏洞,難不成網管也管網頁如何寫嗎?
By ned on 2008 年 05 月 12 日 - 21:09:13
很不幸地, 台灣很多單位為了省錢, 演變成以下兩種狀況:
1.一個菜鳥 MIS 人員, 同時也兼任網路管、網站管等工作,
可是卻什麼資源/支援都不協助. 理所當然地, 這可憐的 MIS 只好土法煉鋼, 加減作, 芹菜作…
2.外包, 最好是能包山包海, 又包低價.
通常這種大包單位, 都不會實際去作, 而是再下包給小包商作的.
為了薄利多銷, 常常同一套程式, 只要套個不同版面, 不同圖片, 就可以賣給很多單位囉!
然後常見一種情形, 就是駭客只要用同一招, 就能一次把多家單位打到塗塗塗… XD
sigh~~~
By XSS真好 on 2008 年 05 月 12 日 - 21:54:59
但是有時想想,害了那麼多網管工程師沒頭路,好像也不太好,還是來積點陰德好了,少講話囉。
By yusu on 2008 年 05 月 12 日 - 23:33:14
不是只有一般的企業會這樣,就連政府機關的單位也會!!!!!!!!!!!
By kk on 2008 年 05 月 12 日 - 23:54:51
奇怪,怎會出現亂碼…
By tomatodog on 2008 年 05 月 13 日 - 00:04:13
不知耶,可以重新輸入嗎?
By Roger on 2008 年 05 月 13 日 - 00:23:00
洞,是永遠補不完的…
就好像病毒永遠有新的
不能因為一家公司有病毒,就好像什麼不可原諒的事
By Duex on 2008 年 05 月 13 日 - 00:50:51
感覺這為盡職的工程師遇到真是腦殘兼高級鴕鳥酋長的上級主管
By Jim on 2008 年 05 月 13 日 - 02:05:45
很多所謂的「資訊主管」都不是「資訊」背景出身的,他們根本不懂資訊科技!也無法理解、區分資訊的範疇,所以遇到這種主管也沒辦法…官大學問大…
By 路人甲 on 2008 年 05 月 13 日 - 08:36:06
看大家這麼踴躍回覆內心的感受
想必台灣的IT產業應該值得檢討
不然基層IT人員花心思改進
頭頭卻只看表面……嘆
By 大頭 on 2008 年 05 月 13 日 - 08:38:58
我相信只要消除「外行領導內行」的情形,這種不合理的現象一定可以獲得很大的改善。
By 路人甲 on 2008 年 05 月 13 日 - 08:43:50
外行領導內行只要外行的自覺,尊重專業,也不是什麼問題…
最大的問題是主管覺得官大學問大,不然就是學了一點皮毛就自以為很行…
也有的是從資訊人員升上去以後卻很久沒有自我充實,知識落
後的….身為資訊人員還是要懂得謙卑與尊重,不然就算是現
在那些懂的資訊的基層員工升上去做主管,現象還是一樣存
在
By 重重 on 2008 年 05 月 13 日 - 08:55:25
重重言之有理的縮~~
By 路人甲 on 2008 年 05 月 13 日 - 09:02:46
該離職的是這個主管,而不是網管;遮掩問題才是爆發資安問題,忽視資安問題的元兇
By sonet.all on 2008 年 05 月 13 日 - 09:50:14
如果資訊戰真的是第四軍種。
各位準備好上戰場了嗎??還是當砲灰咧??
我還是一句老話:「重視資安人才的培養」。現實世界就是要以優勢軍備(人、科技及策略)來防禦惡意攻擊。但資訊安全往往看科技,以為有個鋼盔就無敵…XD
被打其實沒啥了不起,有誰不生病呢??重點是事後處理態度與全面檢討修正,去防止問題發生。
By Crane on 2008 年 05 月 13 日 - 09:52:50
我的感覺是這位工程師在老闆眼中應該不太受到倚重,才會產生這種憂慮的情緒,搞不好只是他老闆想刺激他做的更好罷了!
其實我們這種老網管人一定會黑的紀錄,只要同樣的事情不要
一再發生,老闆還是會相信你的.加油吧!
By Peter on 2008 年 05 月 13 日 - 11:05:21
看到那位網管這樣寫,也只能感嘆.想必他可能有一些包袱沒辦法立即攤牌走人,或是舉發公司主管的惡行惡狀!任何公司都是一樣,官官相護,除非你已經有一些籌碼可以和上面的人周旋,要不然只能忍氣吞聲,為五斗米折腰!話說回來,若你因此被開除,那問題還不是一樣存在?只要不修復,就會被爆出來!到時候就換你們那個該死的主管下台了(除非他像趙建銘一樣有後台).所以,不管公司大小使用者的權益還是要被確保,犯錯並不可恥,可恥的是隱瞞真相,不知悔改,像這種的一定要給它爆料,讓它受到輿論的制裁!
By tomatodog on 2008 年 05 月 13 日 - 11:31:42
這位網管仁兄不用太在意啦!
基本上,您已經經歷過資安事件,並做妥善處理了!
這在履歷上是一大加分,
如果公司福利待遇不是太優渥,
老闆又這麼不明事理,
換個跑道重新再出發,
只會更好不會更糟!:)
By Roamer on 2008 年 05 月 13 日 - 14:07:01
我想所有被公布的公司行號的網管人員怎麼可能會不在意。
將心比心吧!
By 裝笨笨 on 2008 年 05 月 14 日 - 01:04:03
本來就是…一邊虧人說都不改漏洞,人家可能真的不會改
我這裡替R大直接說好了:不會就來上我的課啊…
看這個網站那麼久,其實全世界沒一個網站能上的…
By Duex on 2008 年 05 月 14 日 - 01:06:54
Duex大大
我前面也提過了!我目前並未公開對外授課!
要上也不一定上的到,請不要代我發言,
尤其是我沒說過的話…:)
(如果文章R大指的是Roger大,那我搞錯了!請見諒..Orz)
在其他的推文中,釣竿我已經給了!
部分被指正修補不完全的網站也有留言給我,
我也都有私下回覆告知修補或檢測方向,
這些做起來並不難,
端看管理者的心態跟自主學習意願了!
:)
By Roamer on 2008 年 05 月 14 日 - 08:04:02
有時候人就是這樣,沒有經歷某些事情是無法理解別人為什麼會這麼做。
如果你是說我的話,我開的課,上的人少之又少,你可以問問看,況且,我也不是上如何修補漏洞這方面的東西。
By Roger on 2008 年 05 月 14 日 - 08:10:33
如果在這網站可以多分享如果檢測漏洞及如何防制的實際技術及作法,也會更讓大家認同,而且也算是對台灣資安界有更大的貢獻。但現在看到的大都是攻訐的言論較多,對資安的進步助益反而不到。我想那網管工程師應該也是想要改善,只是不知要從何下手,如果有更多資安技術知識及文件提供出來,也可幫這些網管工程師強化資安能力,也減少資安的漏洞,那不是更好嗎。
By Porui on 2008 年 05 月 14 日 - 08:20:26
其實各大程式開發論壇, 都有Security區談到如何避免此類漏洞的方法, 甚至還有程式碼Sample, 端看各位是否用心去挖掘, 並善加活用…
不然, 呼叫大家的好朋友-古狗, 也能找到不少
Roamer大大, 下次什麼時候講課, 小弟看有沒有機會去聽聽 ^_^
By XSS真好 on 2008 年 05 月 14 日 - 09:32:31
樓上網友說的對,這些東西網路上都有,只有花點時間就可找到,另外,很多書上也有,不曉得你想知道哪方面的資訊?
最後,在台灣,不管是哪種工程師都累得跟狗一樣,那有時間看其他的東西呢(個人淺見)?
By Roger on 2008 年 05 月 14 日 - 09:58:11
還好阿,沒發生事情前還可以補救阿,等發生事情公司真的要陪錢,那就真的慘了.
有人幫我免費檢測,我高興都來不及說,畢竟很多網管對Web的安全部份真的不太懂.
By eose on 2008 年 05 月 14 日 - 10:21:44
這位主管是跟大陸高官學的嗎??
大陸政治最喜歡使用封鎖技能了
By JimmyX on 2008 年 05 月 14 日 - 10:39:05
在這裡怎麼都沒人要討論技術啊!
By Porui on 2008 年 05 月 15 日 - 10:04:43
好希望可以在這裡得到知識!
By Porui on 2008 年 05 月 15 日 - 10:06:03
請問想知道哪方面的技術呢?
By Roger on 2008 年 05 月 15 日 - 17:03:00
嘖嘖,在台灣很多東西是不能明說的,明明就有很多東西可以看,就是懶的去找,這些人真的是……
另外我也強烈懷疑在這裡放馬後砲的人,到底是不是懂這方面的事,不懂還跟人家放砲放的很高興,網站開發者不懂並不一定是他的錯,人家至少還能去開發網站,而放砲的人也許只出一張嘴……
至於Roamer大大的確是有能力的,大家可以不用懷疑。
By QQ on 2008 年 05 月 17 日 - 21:30:42
不會架網站就不能放砲嗎……..
不會煮菜就不能批評餐廳不好吃嗎…..
不懂怎麼作好資安,就不能批評作資安的人作得不好嗎….
By 平平 on 2008 年 05 月 17 日 - 21:56:28
資安大概只剩嘴砲
但是不放炮 好像也沒人重視
哈哈
By tamadox on 2008 年 05 月 18 日 - 00:18:29
資安只剩嘴砲?資安並不是只剩嘴砲,因為懂的人懶的說,從一開始努力的說 說到最後有氣無力 就變懶的說了,而很多不了解的喜歡拼命打嘴砲。
PS我沒有指哪些人,請勿對號入座。
我只是看不下去這麼多人在鞭,但是提出改善方法的卻又很少,打嘴砲對提升個人技術並無幫助(也許對提升口技有幫助?!),大家省點力氣吧。
重不重視?當付出代價時自然會去重視的,人就是這樣。
By QQ on 2008 年 05 月 18 日 - 16:32:47
很贊同樓上大大,確實在這裡提出改善方法的非常少,打嘴砲的多啦。
By Porui on 2008 年 05 月 19 日 - 08:32:53
唉, 愈來愈冷了…
尤其是當要求的多, 回饋得少的時候, 甚至要求給Sample code?
(只差沒丟code出來要各位大大幫忙改了)
預防XSS並不難:
1.白名單輸入/輸出值 (長度、格式、限定許可字元等)
2.輸出成HTML前, 再確認是否符合白名單輸出值, 否則一切均作 HTML encoding處理
3.若要開放HTML tag, 僅限定特定 tags.
否則得自行開發HTML parser(這就不是三兩句講/寫得完的囉!)
不過說作不到的人實在太多啦! 理由更是千奇百怪…XD
By XSS一點也不好 on 2008 年 05 月 19 日 - 11:36:43
>預防XSS並不難
以網管人員懂程式設計為限….會覺得難的都是只會滑鼠神
功的……
只是要開放HTML的任何TAG都很難預防XSS…..因為只要有
tag就有CSS支援,然後CSS支援也可以藏XSS,img等也有
用很奇怪的語法的插入法(不合語法的方法插入的….)
一方面是IE實在很怪,語法寫錯也給他執行下去….
一方面如果要確定使用者寫的都是正確的也很難做出好用的
parser…..= =;
By 重重 on 2008 年 05 月 19 日 - 11:45:05
幾個關於如何 找/補/防 XSS 的文章, 給各位參考:
http://holisticinfosec.org/toolsmith/docs/april2008.pdf
http://www.cgisecurity.com/articles/xss-faq.shtml
http://www.xssed.com/xssinfo
http://www.owasp.org/index.php/Category:OWASP_PHP_AntiXSS_Library_Project
http://msdn.microsoft.com/en-us/library/aa973813.aspx
By XSS一點也不好 on 2008 年 05 月 19 日 - 11:45:58
若這樣也要被開除
台灣被開除的工程師也就不知有幾位了
我覺得這種問題在網站上很常發現 (尤其是 IIS ……)
但是一般工程師也不太瞭解要怎麼去 check
我看連主管自己來管 , 可能主管他自己也會被開除吧
By PCZONE on 2008 年 05 月 19 日 - 17:25:06
所以說網站外包比較好,死別人不死自己@@
By 外包比較好死別人不死自己 on 2008 年 05 月 19 日 - 17:46:55
網站出包時,外包廠商能負責些什麼?案子可能都結了。
By sl6xx on 2008 年 05 月 20 日 - 08:14:10
感謝樓上幾位大大的分享,
其實防禦XSS並沒有想像中困難,
君不見有許多網站被揭露後,
都已順利修復!
重點應該放在先去了解什麼是XSS,
才有辦法針對XSS漏洞進行有效防禦,
而不是人家說哪邊有洞,
就只補哪邊…
這樣很難補得完吧…@@~
ps.XSS一點也不好的回應中提到的連結很值得參考喔^^
By Roamer on 2008 年 05 月 20 日 - 13:00:41
看了樓上幾位大大分享心得,
覺得XSS問題好像沒有想像中嚴重,
但是礙於英文造詣不佳,
能否有勞提示中文網頁供參,
感謝!
By 初學不知如何找洞補洞 on 2008 年 05 月 20 日 - 23:48:17
可以參考底下這篇,
剛好講到XSS的部份…:)
http://newsletter.ascc.sinica.edu.tw/news/read_news.php?nid=1288
By Roamer on 2008 年 05 月 21 日 - 13:10:15