ว่าด้วย 9Near กับข้อมูลหมอพร้อม
ว่าด้วยข้อเท็จจริงเชิงวิชาการนะ ส่วนท่านๆจะแถอะไรยังไงก็แล้วแต่ทางเอาตัวรอดเขาไป
ชัดเจนว่าข้อมูลที่หลุดมีที่มาจากหมอพร้อม ส่วนคนๆนั้นจะซื้อมา หรือแฮกมา ยังไงมันก็คือข้อมูลหลุดอยู่ดี
ไม่ใช่ว่าซื้อมา แล้วจะบอกว่าระบบปลอดภัยดี ก็ถ้ามันปลอดภัยดีแล้วจะมีข้อมูลหลุดได้ยังไงล่ะ ต่อให้คนในเอามาขายเองมันก็แสดงว่ามีช่องโหว่อยู่ดี แค่ไม่ใช่ไอที แต่มันก็รั่ว
วกกลับมาที่หมอพร้อม ก็ชัดเจนเช่นกันว่าตัวแอปมันมีช่องโหว่ มีแจ้งอยู่ว่าคุมสิทธิไม่ดีพอ
ขยายความหน่อย คือปกติ นาย A อาจจะ id 111 เขาควรจะเห็นเฉพาะข้อมูลของตัวเองคือ id 111 แต่ถ้านาย A ซนๆหน่อย เปลี่ยนจากที่อ่านข้อมูลตัวเอง id 111 เนี่ยไปอ่านของคนอื่น id 112 113 114 ดูบ้างล่ะ
ตามหลักการมันควรจะไม่ได้ เพียงแต่แอปหมอพร้อมมันให้ทำได้น่ะสิ
ทีนี้นาย A ก็ไล่อ่านไปเลยสิมีกี่แสน กี่ล้าน id ก็ค่อยๆไล่อ่านไป
อันนี้ก็ทางหนึ่งนะ แต่ไม่ชัดเจนว่าเขาใช้ทางไหน แต่แน่ๆคือมันมีทาง
จากที่สัมผัสหน่วยงานมา ทั้งเอกชน รัฐ ส่วนใหญ่ๆเลย ไอทีในองค์กรมีไม่กี่คนหรอก และก็ทำหลักๆคือคุมคนที่รับจ้างต่ออีกที
ขึ้นโครงการมี PM 1 คน จ้างคนนอกเขียนแอปให้ แล้วก็ตามงานให้เสร็จตามระยะ คนรับจ้างมันก็เขียนแค่ตาม TOR และก็เชื่อว่า 90% TOR ไม่มีใส่ Pentest หรอก
เพราะ Goal ของ PM คือให้งานเสร็จตาม timeline ไม่งั้นนายด่า และหัวหน้าเขาก็ไม่ได้เข้าใจความเสี่ยงด้วย
บริษัทรับจ้างก็มีหลายแบบ ถ้าเน้นจูเนียร์เด็กจบใหม่มาก็ถูกหน่อย แต่พวกนี้ก็ข้ามเรื่อง security ไปได้เลย ถ้าเอามีประสบการณ์ก็แพงขึ้น แต่ก็คุณภาพดีขึ้นด้วย
เพียงแต่ว่าเวลา Bid งานเขาก็ดูราคาเป็นหลักใหญ่ซะด้วยสิ ถ้าเน้นราคาเป็นหลักก็คุณภาพสมราคาตามนั้น
ประเด็นที่บอกไปข้างบน Pentest ตัวแอปแค่เบสิคๆ ไงก็น่าจะเจอ ไก่กาอย่างผมยังรู้เลย
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2024 Blockdit
