Re: 簡介PostERP技術

看板MIS (IT資訊人員)作者 (逞˙強)時間3月前 (2024/08/28 04:05), 編輯推噓10(10014)
留言24則, 11人參與, 1月前最新討論串2/2 (看更多)
[恕刪] 雖然這個版上很多前輩, 但是還是忍不住班門弄斧, 在前面先向大家賠罪。 ※ 引述《anecdotes (*++i >> j != &k << *l--)》之銘言: : → asdfghjklasd: 先跟我說你的雲平台經過什麼資安認證? 08/27 11:42 : 我們自己用nmap.org自己認證。 : : 《資安大哉論》 : https://www.linkedin.com/pulse/%25E8%25B3%2587%25E5%25AE%2589%25E5%25A4%25A7%25E5%2593%2589%25E8%25AB%2596-cn-liou/ 幫縮網址: https://reurl.cc/vv7vQk (其實是我自己要連很不方便) 擁有一次單挑多項資安標準作法的勇氣我是很欽佩啦, 不過上面這篇文章是不是值得丟去事實查核中心查核一下挖? 有點強大!! 身為多年的資訊與資安從業人員, 我認為還是需要稍微稍微說明以正視聽,避免誤導大眾。 首先針對推文,Nmap他的主要功能是掃描開啟的連接埠, 搭配NSE也可以測試部分CVE或已知弱點。(但是有些功能的準確度還有點呵呵呵) 但用各種方法精準拿到各系統版本號後去Github找Exploit或PoC來玩的成功率遠高於NSE。 請問您如何使用Nmap認證您的系統、環境、流程符合各種資安要求? 是否有具公信力的方法論、測試流程、測試報告與第三方認可? (註:Nmap並非具備第三方公信單位認證的弱點檢測軟體) 接著想對您的文章一些很特別的地方跟大家一起討論討論。 由於令人疑惑的地方實在太多了,所以只挑幾個重點來探討。 首先, 您在文章中很直接地否決了OWASP Top 10這個十多年來業界針對網站資安檢測的圭臬, 不可否認OWASP Top 10在很多時候都被神化,有些項目PT、VA根本沒辦法完整檢測, 但是大家有沒有發現文中提到 "廠商提高軟體與基礎設施品質" 部分, 全部都不出OWASP Top 10 2003迄今十多年來多個版本的範疇? <---以下是流水帳廢話---> 甲、應用軟體,也就是軟體程式的細節,諸如: - SQL injection attack --> A03:2021 Injection - cross site scripting attack --> A03:2021 Injection / A07:2017 XSS - buffer overflow attack --> A05:2004 Buffer Overflow 乙、基礎設施,infrastructure,諸如: - 作業系統(Operating System, OS)參數:例如關閉port?關閉login prompt? --> A05:2021 Security Misconfiguration - Email伺服器軟體參數 --> A05:2021 Security Misconfiguration - 網路規劃:是否設置private network、防火牆? --> A01:2021 Broken Access Control / A02:2017 Broken Authentication - 通訊協定:例如TCP port?Unix domain socket?IPsec? --> 這個跟前面作業系統的異同? 加密與否嗎? A06:2021 Sensitive Data Exposure 其中只有Buffer Overflow這件近年來都沒進Top10, 原因很簡單,現在大家的應用程式大部分都愛採用Framework開發, 會在自行開發的產品直接產生溢位的機會大大降低, 如果是框架問題,那就會規在A06:2021 Vulnerable and Outdated Components的問題, 被要求更新元件。 所以雖然說OWASP TOP 10真的很廢,但他真的包山包海包屁股, 在應用環境遇到的弱點要沒辦法歸納在這十項還真的要有點技巧。 所以標案說要沒有OWASP TOP 10弱點對甲方來說是很GY很負責任的安全牌, 因為只要弱點在範疇內,都是廠商的問題,廠商沒寫好、第三方驗證沒驗出來, 依合約就是得標廠商或第三方驗證廠商要頭大,甲方完全過關。 (結果就是乙方跟驗證方毛在燒看到底誰要吞這樣。) <---以上是流水帳廢話---> 另外,您提到 "擁有資料庫讀取權的資訊人員嫌疑最大。", 所以各種Guideline、Best Practice不是都提到權限切割、職責分離嗎? 那使用您的雲服務如何證明您不是風險最大的資訊人員呢? 要有一個基本認知:上雲不會讓問題消失,只會讓問題一起跑到雲上而已。 服務上雲了,DBA、IT問題不也一起上雲了嗎?怎麼會覺得說上雲這些問題就會消失呢? 您認為 "非擁有資料庫讀取權的人員難以供應【大規模】【結構性】資料。" SQL Injection的目標不就是從外部Web UI透過各種手法在不取得額外資料庫存取權 的前提下【大規模】【結構性】取得資料庫裡的大量資料嗎? 不然您認為的SQL Injection只是 or 1=1--可以莫名登入系統就這樣而已嗎? 正確掌握SQL Injection弱點與操作方法的攻擊者也可以在組織外部透過Web UI執行以下: "依照買方要求條件,執行一道SQL SELECT指令,3秒鐘內篩選出有效資料,下載並販賣。" 至於2300萬筆個資外洩這是我國政府單位的笑話,不可否認。 但是用這2300萬筆個資直接壓在這些單位的DBA、IT頭上,是否過於武斷? 不可否認各種政府系統千瘡百孔,但千瘡百孔不就等於歷史共業嗎? 怎麼可以讓DBA、IT直接吞呢lol。 您質疑台灣哪一間上市櫃公司可以吸引IT人員每天8hr高標準工作, 不知道您有沒有耳聞神山等級的IT或是Vender如何工作, 也許您可以跟您說這達不到的神的領域比較一下有什麼差異。 客觀來說其實差異沒多少,您沒看過不代表不存在。 (https://ithelp.ithome.com.tw/articles/10035534) (https://www.ptt.cc/bbs/Tech_Job/M.1720094772.A.6EB.html) 此外,有關資安長,您認為需要資安全才,我比較好奇,是否能類推如下: 美國總統是否應是美國全才?習大大是否應是中國全才? 能綜理全單位資安政策者必須要事必躬親嗎? 還有,零信任的確不是萬靈丹,但也跟您的猜測八竿子打不著, 更跟使用不使用M$解決方案一點關係也沒有,建議您可以多看幾篇iThome稍微補完一下。 大家才不會看得滿臉問號。 最後,個人認為在評論一張證照、證書廢不廢、有沒有用之前,建議先考到、通過再說。 只有吃過爛蘋果的人才能體會箇中滋味。 PS. 依照Nmap提供的版本號, 您其中一台主機的ssh使用的版本OpenSSH 8.4p1具有中風險弱點, 且其中已有至少一個弱點已有Exploit在網路上流傳,建議立即更新。 建議您在深入研究一下Nmap的功能與能耐,他可以做的是比您想像的更多。 Ref.https://www.cybersecurity-help.cz/vdb/openssh/openssh/8.4p1/ Ref.https://github.com/LucasPDiniz/CVE-2023-38408 小小意見提供大家參考, 文字中如有不妥,請多多海涵。 Best Regards, by ASimon -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 140.134.25.104 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1724789107.A.D25.html

08/28 04:27, 3月前 , 1F
太認真回了,光他寫一句linux不會中毒,對我來說就是
08/28 04:27, 1F

08/28 04:27, 3月前 , 2F
詐騙,繼續吹吧
08/28 04:27, 2F

08/28 04:34, 3月前 , 3F
他另一篇憑證的也是看到嘴巴掉下來,真的是奇文共賞。
08/28 04:34, 3F

08/28 04:34, 3月前 , 4F

08/28 08:40, 3月前 , 5F
這篇才是認真文, 特別是最近剛做完資安檢測特別有感
08/28 08:40, 5F

08/28 08:42, 3月前 , 6F
反正他下一篇下下一篇一樣吹他的產品,繼續無視回應的文章
08/28 08:42, 6F

08/28 08:49, 3月前 , 7F
推這篇
08/28 08:49, 7F

08/28 08:50, 3月前 , 8F
的確,就像沒做過IoT處理過相關數據量跟速度問題,很
08/28 08:50, 8F

08/28 08:50, 3月前 , 9F
多地方就是吹跟浮誇,所以才說與其幻想一堆有的沒的,
08/28 08:50, 9F

08/28 08:50, 3月前 , 10F
實際客戶拿出來說嘴才是真的
08/28 08:50, 10F

08/28 11:35, 3月前 , 11F
您也太認真
08/28 11:35, 11F

08/28 11:37, 3月前 , 12F
我還沒空往下玩~~
08/28 11:37, 12F

08/28 12:53, 3月前 , 13F
它的產品還蠻可怕的 畢竟完全沒有資安概念
08/28 12:53, 13F

08/28 12:54, 3月前 , 14F
這串廣告真的是幫他自己最大的負面行銷
08/28 12:54, 14F

08/28 12:56, 3月前 , 15F
很多解釋都不知道在回什麼 可能根本看不懂大家問了什麼
08/28 12:56, 15F

08/28 13:00, 3月前 , 16F
很多時候,重大弱點在隔壁領域都只是無意間產生的小瑕疵。
08/28 13:00, 16F

08/28 13:01, 3月前 , 17F
通過弱掃跟拿到認證只是證明有基礎資安能力,卻被講成
08/28 13:01, 17F

08/28 13:01, 3月前 , 18F
只是一堆廢紙,只能說思維與常人差異太多
08/28 13:01, 18F

08/28 13:11, 3月前 , 19F
都可以吹10萬人同時線上瞬間出報表,用CDN的人看到都
08/28 13:11, 19F

08/28 13:11, 3月前 , 20F
要哭了
08/28 13:11, 20F

08/31 23:02, 3月前 , 21F
求原文
08/31 23:02, 21F

09/01 01:25, 3月前 , 22F
09/01 01:25, 22F

09/04 01:38, 3月前 , 23F
我真的好期待有甲方買這套,然後不合用告上法院的
09/04 01:38, 23F

11/08 08:18, 1月前 , 24F
習大大應該是全才! 牛逼
11/08 08:18, 24F
文章代碼(AID): #1cpZ5pqb (MIS)
討論串 (同標題文章)
本文引述了以下文章的的內容:
完整討論串 (本文為第 2 之 2 篇):
10
24
文章代碼(AID): #1cpZ5pqb (MIS)