PTT職涯區 / Soft_Job (軟體人)

Re: [新聞] 鑽APP漏洞詐全聯!推薦會員200點...2高

看板Soft_Job (軟體人)作者 (十三夜)時間3年前 (2020/10/16 02:38), 3年前編輯推噓7(7027)
留言34則, 10人參與, 3年前最新討論串2/2 (看更多)
工作上常會遇到一些工作室來鑽這種漏洞 在工作室的術語裡面 稱這種有辦活動的公司叫做白菜 他們的工作就是刷白菜 要跟這些工作室鬥智是必要的 以這個案例裡面有問題的幾個地方感覺是可以注意的 1.電話號碼 在台灣電話號碼理論上應該是比較難大量取得的 所以應該是 PM 有提出只要電話號碼沒問題 就可以過關不檢查 工程師照規格作的話 不能算工程師的鍋 但還是有些網站可以提供免費收簡訊, 甚至還有可以談合作的空間 費用其實也不貴 我隨便舉兩個例子 https://www.yinsiduanxin.com/blog/35.html http://taiwan-sms.net/page/20 還有其他更詳細的我就不提供了 當然如果是簡訊驗證那塊沒寫好的話, 就是工程師的鍋了 那代表全聯要嘛外包 要嘛花錢請的工程師或顧問層級太低 2.點數可以轉移 做此類型活動, 一般點數是不可轉移, 就算轉移也是上轉下 在控管時候比較可以監控跟控制整條線的情況 通常如果有不限制的點數轉移, 安全機制就必須加上 轉移就跟洗錢一樣 技術好的話其實洗到你很難追查 這次我看是菜鳥等級的 才會輕易被查到 不然跳跳 IP, 弄些假身份, 找其他收錢管道都是很正常的事情 3.安全檢查機制 報表式的監測跟檢查, 沒時間作完整的話, 也可以在半夜直接組 SQL 統計檢查 監測每天, 每個帳號, 每個IP 的成長跟排行數據 應該是可以快速看出問題, 即早發現的 這一塊通常資深工程師, 可以說服公司處理才對 有點層級的工程師, 即使公司資源不足情況下, 也該用抽查方式, 或是提供 SQL 監控 之前的經驗是, 工程師必須了解邏輯並且想的多一點, 最好還有採坑經驗 因為用戶為了錢, 會無所不用其極的鑽你的漏洞 很多你自己的邏輯跟技術問題, 一下就會被攻破 更別說你完全按照規格完成以後, 還是有很多延伸的邏輯問題可以注意 台灣大多數的線上問題都是防君子 還有法律可以協助 真正進階的攻擊者 是不會留下這些尾巴的 所以還是能多加強比較保險 以上幾點是目前想到的 大家有想到可以補充討論 -- 最喜歡的一句話是? 世界和平 最尊敬的人是? 德蕾莎修女 請說一句話。 大家都要幸福喔~ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.116.32.51 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1602787116.A.4C4.html ※ 編輯: lance70176 (122.116.32.51 臺灣), 10/16/2020 02:50:35
10/16 04:08, 3年前 , 1F
看是找到什麼樣的員工跟主管.....不好說XDDD
10/16 04:08, 1F
10/16 04:58, 3年前 , 2F
很多網站都馬防君子而已
10/16 04:58, 2F
10/16 04:58, 3年前 , 3F
不過牽涉到錢確實該慎重
10/16 04:58, 3F
10/16 07:13, 3年前 , 4F
人在臺灣還能抓得到,在國外的話就有些難度了,別忘了,
10/16 07:13, 4F
10/16 07:14, 3年前 , 5F
有些類似這種的都是成員分散在N個國家。
10/16 07:14, 5F
10/16 09:01, 3年前 , 6F
這個活動很趕,你先快點做
10/16 09:01, 6F
10/16 09:49, 3年前 , 7F
所以像這種以手機為主的程式最好就是把手機號碼設為uniq
10/16 09:49, 7F
10/16 09:49, 3年前 , 8F
ue,然後pk使用surrogate key以提供換門號的需求
10/16 09:49, 8F
10/16 10:13, 3年前 , 9F
感覺就是想cost down 不尊重專業的下場
10/16 10:13, 9F
10/16 10:26, 3年前 , 10F
另外這個案例提供一些經驗:最好用國外的簡訊代收平台,
10/16 10:26, 10F
10/16 10:26, 3年前 , 11F
然後不要集中把點數轉給一個人,賣出後再由不同人轉點數
10/16 10:26, 11F
10/16 10:26, 3年前 , 12F
給買家,至於金流是比較麻煩的,容易要被查到,洗錢成本高,
10/16 10:26, 12F
10/16 10:26, 3年前 , 13F
不划算
10/16 10:26, 13F
10/16 11:28, 3年前 , 14F
處理金流問題確實麻煩
10/16 11:28, 14F
10/16 11:28, 3年前 , 15F
總不能讓買家都付你門羅幣XD
10/16 11:28, 15F
10/16 15:56, 3年前 , 16F
他就笨在把點數集中 隨便撈一下資料也知道他在亂搞啊
10/16 15:56, 16F
10/16 15:57, 3年前 , 17F
不然幾百個帳號零散的點數轉給零散的不同帳號太正常了
10/16 15:57, 17F
10/16 15:59, 3年前 , 18F
工程師沒那個時間仔細作查驗 這種工作價值太低
10/16 15:59, 18F
10/17 02:00, 3年前 , 19F
怎麼講到最後都是工程師的鍋...
10/17 02:00, 19F
10/17 02:03, 3年前 , 20F
因為檢討被害者優先++
10/17 02:03, 20F
10/17 02:05, 3年前 , 21F
不過這種東西要防 就得從一開始的機制做好上限
10/17 02:05, 21F
10/17 02:06, 3年前 , 22F
其實能加到這麼多也是蠻奇葩的
10/17 02:06, 22F
10/17 02:07, 3年前 , 23F
有可能是包袱 例如真的就是有大戶可以這樣玩
10/17 02:07, 23F
10/17 02:07, 3年前 , 24F
我某個客戶的會員消費累計金額都破千萬的 看了紀錄
10/17 02:07, 24F
10/17 02:07, 3年前 , 25F
都覺得太神惹
10/17 02:07, 25F
10/17 02:11, 3年前 , 26F
而且還不是單純破 是數,且這種人不是一個
10/17 02:11, 26F
10/17 02:14, 3年前 , 27F
工程師蠻可憐的 遇到這種秀下限的會員or工作室就要想
10/17 02:14, 27F
10/17 02:14, 3年前 , 28F
辦法攻防
10/17 02:14, 28F
10/17 02:16, 3年前 , 29F
之前也遇過一些會員喜歡拿試用品 就大量註冊 客戶資
10/17 02:16, 29F
10/17 02:16, 3年前 , 30F
本粗沒在怕 讓會員多拿幾次
10/17 02:16, 30F
10/17 02:17, 3年前 , 31F
平均這群人會多拿二三次左右 然後再會有幾個人這群
10/17 02:17, 31F
10/17 02:17, 3年前 , 32F
的極端
10/17 02:17, 32F
10/17 02:18, 3年前 , 33F
例如:重複拿到超過三四十次的XD 甚至阻擋機制啟用
10/17 02:18, 33F
10/17 02:18, 3年前 , 34F
後還是繼續努力不懈
10/17 02:18, 34F
更多 lance70176 的文章
文章代碼(AID): #1VY9SiJ4 (Soft_Job)
Soft_Job 近期熱門文章
更多 近期熱門文章 >>
PTT職涯區 即時熱門文章
更多 即時熱門文章 >>
更多 lance70176 的文章
文章代碼(AID): #1VY9SiJ4 (Soft_Job)