※ 本文轉寄自 ptt.cc, 文章原始頁面
新手剛入職就發現有SQL injection漏洞 該回報嗎
先簡單自我介紹一下 小弟自學+上課 學了一段時間的Java(大約三年) 偶爾也會上github對
開源專案發一些PR 也會看一些資安 資訊方面的相關議題 因為住在蠻偏遠的地區 所以直到
最近才有找軟體方面的工作
目前剛錄取一份接案公司的工作 主要語言是php
今天整天幾乎都在看code
但是跟github上開源的code比起來真的是又髒又亂
變數命名沒照規則 而且還用老舊的php5 例如2023年的案子裡面還有deprecated的meth
od
更別說程式碼感覺都是貼來貼去的 拿以前的來貼改
檔案名稱 資料夾名稱也是都奇奇怪怪 整個專案裡面一大堆無關的code
看code看到後面越來越不對勁 一個簡單的or 1=1就看出來根本沒防sql注入
下班後用某工具對公司的一個案子試了一下 直接把所有db跟table還有資料直接撈出來
重點是全部案子 包括公司的一些資訊都在同一個server上可以直接撈
請問我該回報嗎 回報了不知道會不會被黑…(雖然我手上還有另一份offer
第一次在本版po文請見諒
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.27.18.174 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1683045945.A.DF8.html
Re: 回文串
40227
> 新手剛入職就發現有SQL injection漏洞 該回報嗎
Soft_Job05/03 00:45
28184
Re: 新手剛入職就發現有SQL injection漏洞 該回報嗎
Soft_Job05/03 23:45
→
推
→
推
推
推
→
噓
→
噓
噓
→
→
→
→
→
→
→
→
推
→
推
→
→
→
→
→
→
→
→
→
噓
→
→
→
→
→
→
→
→
推
→
→
→
推
推
→
推
→
推
→
→