BKAV bị hacker thịt, lộ sạch bách mã nguồn, sạch bách dự án, trở thành món hàng bị đem rao bán

Thế này thì thông tin đăng lên bluezone của t lộ hết r à

 

Thật ra văn hóa công ty của BKAV cũng rất ấn tượng : luôn luôn chiến đấu , không bao giờ chịu thua , dù cho ở trong tình huống xấu thế nào đi nữa , luôn buff bản thân không ngừng nghỉ .
Không nhận trách nhiệm xấu , không thấy rõ trình độ bản thân .

 

Có những cái requirement tuy không nêu ra rõ, nhưng nó là cơ bản trong ngành IT, như khi làm về SQL thì SQLi là 1 trong số những cái cần phải check, dù là fresher hay level cao hơn. Nên miss thì là do mindset / skill có vấn đề rồi

 

Mềnh gà mờ cho hỏi, nếu cái này là lỗi cơ bản để thông tin bị hack vào thì suốt mấy ngày sao ko thấy BKAV fix nhỉ? Hay là ko thể fix nổi?

Cái thứ 2 thì bị cái như này có chứng minh các mảng khác của BKAV đều nát ko?

 

xem video thì dễ chứ làm thì không dễ đâu

 

Cái này fix được mà, biết lỗi là fix dễ lắm . Có khi truy chưa ra lỗi để fix thôi.

Làm về bảo mật mà để dính lỗi bảo mật cơ bản thì bác nghĩ các sản phẩm khác nó thế nào ..

 

Mấy cái này chắc web app cũ nên bọn BKAV cũng lười sửa. Nếu mà tui nó copy source code qua lại giữa các dự án thì nát hết mấy trang web chính phủ
Mấy cái khác như BPhone với BHome thì chủ yếu là down ROM mã nguồn mở về custom tí thôi, nên chắc không đến nỗi tệ.
Nói chung càng ít code càng ít lỗi thôi

 

Cấu 1: Bạn là một thằng kim cang bất hoại, tuy nhiên ở lỗ đít thì ko, bị 1 thằng bắn vào lỗ đít, viên đạn có độc xuyên vào bụng làm thủng ruột và dạ dạy bạn. Bạn cố gắng sửa bằng cách lấy viên đạn, khâu lỗ viên đạn đâm. Hỏi sau khi sửa xong bạn có chết ko?
Câu 2: ngôi nhà bạn được bảo vệ cực kì nghiêm ngặt, lính vũ trang camera đầy đủ, tuy nhiên lại có 1 lỗ chó ngỏ mà thằng trộm có thể vô. Khi vô xong, nó ăn trộm tiền của bạn, rồi không quên chôm luôn đồng phục nhân viên lẫn thẻ ra vào. Sau khi trộm xong nó để lại lời nhắn "m có lỗ chó ở cửa sau đó". Bạn vội vã lấp lại lỗ chó. Hỏi bạn có bị trộm nữa ko?

 

đù má requiment không ghi nhưng hợp đồng product nào chả yêu cầu bảo mật theo tiêu chuẩn hiện hành nên mindset dev nào cũng lấy đó làm căn bản không cần requiment luôn ấy.
nhưng dù sao qua được cả QC và lên product thì cong ty éo có mindset luôn cmnr

 

QC chưa chắc biết sqli
Mà giờ khách hàng có biết gì về sqli đâu, giờ trong hợp đồng không ghi requirement sqli thì thằng dev chơi raw SQL rồi có gì đổ thừa do hợp đồng thì công nhận bựa thật.

 

Ông giả định nhiều yếu tố quá, với lại tui nói cái người code, ko nói cái người approve cho nó.

"Rule password khá phổ biến" => ông thử thống kê xem tỉ lệ password cần "viết thường + viết hoa + có số+ có ký tự đặc biệt" là bao nhiêu mà dám bảo phổ biến, ví dụ google luôn đi, google có đòi hỏi password phải có chữ viết hoa ko ?

Sau cùng, tui vẫn nghĩ ít ra cái người code đó vẫn có mindset về security, tất nhiên do trình bạn cũng chưa tới nên mới để cái lỗi ngớ ngẩn đó xảy ra.

 

bác là clone của bác asm hay là họ hàng gì với bác ấy không ?

 

cần link nó cm cơ

 

Chịu chắc trôi hoặc bị xóa thấy Vẫn sủa ầm ầm bên voz kia

 

Rule password là thuộc về BA, trừ khi bên đó dev mà không có BA, thiết kế gì thì thôi, nát đã lên một đẳng cấp mới, còn để lỗi sqli thì là do nhiều nguyên nhân, trực tiếp nhất là do dev cùi, cao hơn thì là do thiết kế cấu trúc của dự án cùi, hoặc là chẳng cói cấu trúc gì luôn.

 

tôi nói rule khá phổ biến vì ngân hàng nào cũng dùng cái đó !
làm ngành lâu tôi học được một câu là "Muốn nhanh thì phải chậm, muốn dễ mới khó". Vế đầu thì không nói tới, vế sau là khi ông muốn implement cái gì đơn giản, dễ dùng thì nó mới khó. Google nó cho thoải mái , dễ dàng là vì nó có nhiều cơ chế khác để bảo vệ tài khoản, nên việc ông đặt pass dù cho đơn giản cũng không có ý nghĩa gì.

 

Nếu t nhớ ko nhầm thì tới thời điểm hiện tại thì rule nhiều loại ký tự đã không còn có ý nghĩa khi có thể bruteforce được do sức mạnh tính toán tăng lên. Bây giờ để đảm bảo mật khẩu an toàn chỉ cần 1 rule duy nhất là độ dài mật khẩu là được, việc yêu cầu ký tự đặc biệt còn làm giảm đi khối lượng cần brute force

 

hồi đó trực tiệm net có thằng kia nó gõ mật khẩu yahoo của nó cái quần què gì mà cỡ 6, 7 chục ký tự, số chữ đủ thứ.

 

Nguyên một đoạn nhạc luôn phải không ?